Server 4.0 – eine datenschutzorientierte Analyse€¦ · Der Hamburgische Datenschutzbeauftragte Microsoft Backoffice unter NT-Server 4.0 – eine datenschutzorientierte Analyse

Der Hamburgische Datenschutzbeauftragte

Microsoft Backofficeunter NT-Server 4.0

– eine datenschutzorientierte Analyse

O. HöwerOktober 1998

MS BackOffice- Eine datenschutzorientierte Analyse

1. Windows NT Server 4.0. . . . . . . . . . . . . . . . . . . . . . . . . .3

2. Microsoft BackOffice. . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2.1 SQL Server 6.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2.2 SMS 1.2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

2.3 Exchange Server 5.5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.4 SNA Server 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.5 Proxy Server 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

2.6 Internet Information Server . . . . . . . . . . . . . . . . . . . . . . . .26

2.7 Index Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.8 Andere Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Anhang

Abkürzungsverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Abbildungsverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . .35

Literatur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Abb.1: Komponenten von Microsoft BackOffice

MS BackOffice – eine datenschutzorientierte Analyse Seite 3 von 36

Vorwort

Diese Ausarbeitung richtet sich an all jene, die eines oder mehrere der BackOffice-Produkteaus dem Hause Microsoft einsetzen bzw. deren Einsatz planen. Sie setzt sich zum Ziel, ei-nen Beitag zur Sicherung der betroffenen Netze und der in ihnen gespeicherten personen-bezogenen Daten zu liefern. Insbesondere spricht das vorliegende Papier Datenschutzbe-auftragte aus dem öffentlichen und nicht-öffentlichen Bereich sowie Systemadministratorenan.

Zunächst wird ein allgemeiner Überblick über die einzelnen Komponenten von MS BackOf-fice und deren Funktionsumfang gegeben, anschließend werden die für einen sicheren Be-trieb relevanten Aspekte erläutert. Auf Windows NT Server wird nur oberflächlich eingegan-gen, da zu diesem Produkt bereits diverse Sicherheitsanalysen vorliegen. Zum Abschlußjedes Abschnitts werden zusammenfassende Handlungsempfehlungen für einen sicherenBetrieb des Produktes erteilt.

1. Windows NT Server1.1 FunktionsbeschreibungMicrosofts Windows NT Server wurde als multifunktionelles Serverbetriebssystem entwickelt,das sowohl gute Geschwindigkeit als Datei- und Druckerserver als auch entsprechende Lei-stungsfähigkeit als Applikationsserver bietet. Es ist ein sehr einfach zu bedienendes Netz-werkbetriebssystem mit hoher Robustheit und Skalierbarkeit für kritische Anwendungen.

Zum Lieferumfang gehört darüber hinaus der Microsoft Internet Information Server (IIS), einWeb-Server, der auf Windows NT 4.0 aufsetzt. Die gegenüber NT 3.51 vorgenommenenÄnderungen erlauben die Verwendung von Domain-Namen für Verbindungen zwischen Ser-ver und Arbeitsstationen über das Internet. Weiterhin können DNS-Server auch entfernt ad-ministriert werden können. Windows NT Server bietet Wählzugriff über den Remote AccessService (RAS). Eine Workstation stellt mit der RAS-Client-Software eine Client-Sitzung her.

Darüber hinaus ist im Windows NT Server 4.0 der Multi-Protocol Router (MPR) integriert.Dieser Service ermöglicht es, Windows NT Server auch als Router für LAN-Verbindungen,z.B. über X.25 oder ISDN, zu verwenden. Der Routing Service arbeitet mit den ProtokollenIPX/SPX, TCP/IP und Appletalk.

Der Windows NT Server ist zudem die Plattform für Email-Systeme (Exchange Server), Da-teiserver, Datenbanken, Internet- und Kommunikationsdienste, die z.B. durch MicrosoftBackOffice-Produkte impementiert werden können. Da Microsoft BackOffice über eine offeneArchitektur verfügt, läßt es sich in bestehende Systeme, z.B. NetWare-, UNIX- und Groß-rechnerplattformen, integrieren.

Wesentliche Funktionen des NT Servers sind:• NetWare Dienste • NTFS Sicherheitsfunktionen• TCP/IP-Dienste • Host Zugang mit Zusatzprodukt SNA möglich• Remote Access Service RAS • Unterstützung von Skripts• EventLog Service (Protokollierung) • Revision

1.2 Sicherheitsaspekte

Sicherheit bieten in erster Linie ein Domänenkonzept sowie mit individuellen Berechtigungenversehene Benutzerkonten. Große Benutzerzahlen können durch Erteilen von Berechtigun-gen für Gruppen und Hinzufügen von Benutzern zu Gruppen verwaltet werden.


Dieses Sicherheitssystem funktioniert über einen Verbund von Domänen-Controllern. Durchdiese Verteilung werden sowohl Skalierbarkeit als auch Verfügbarkeit erreicht. Einzelne Do-mänen können über 40.000 Benutzer aufnehmen. Die NT-Sicherheit geht über diese Zahlhinaus, indem sie sich über eine Architektur mit mehreren Domänen erstreckt, in der Ver-trauensstellungen zwischen den einzelnen Domänen bestehen.

Das Sicherheitssystem weist sowohl eine programmtechnische als auch eine intuitive grafi-sche Benutzerschnittstelle auf, die für jeden Knoten die Verwaltung der Netzwerksicherheitermöglicht. Sicherheitstechnisch bedenklich ist die Tatsache, daß die Kommunikation zwi-schen Windows-NT-Rechnern über die Netbios-Ports 137,138 (UDP) und 139 (TCP) sowieeinen dynamischen Port (> 1024) erfolgt, so daß sämtliche Ports in diesem Bereich erreich-bar sein müssen. Dieses Verhalten bringt u.U. umfassende Sicherheitsmängel mit sich, dafür jeden außerhalb des Netzes befindlichen Angreifer die offenen Ports erkennbar sind undeinem Angriff z.B. durch Erraten von Paßwörtern nichts im Wege steht. Insbesondere für dasAdministrator-Paßwort ist daher eine sichere Wahl zu treffen, d.h. eine Kombination ausGroß-/Kleinschreibung, Ziffern und Sonderzeichen sollte Vorschrift sein. Abhilfe kann u.U.auch eine Konstellation schaffen, in der die Server zur externen Kommunikation zu einemphysikalisch getrennten Netz zusammengefaßt werden, das eine eigene Domäne bildet. Zuden Domänen der einzelnen Abteilungen der Organisation werden von hier einseitige Ver-trauensbeziehungen eingerichtet, so daß zwar ein Zugriff auf die Kommunikations-Serverermöglicht, ein Durchgriff auf andere Domänen jedoch verhindert wird.

Windows NT Server verwendet Sicherheit auf Benutzerebene. Das bedeutet, daß mit jedemKonto eine Liste mit Genehmigungen assoziiert wird. Die gemeinsame Ressourcenverwen-dung in Windows for Workgroups 3.11 und Windows 95 verwendet im Vergleich dazu Si-cherheit auf Ressourcenebene – Genehmigungen werden mit jeder gemeinsam verwende-ten Ressource assoziiert.

Windows NT schützt jede gemeinsam verwendete Ressource im System. Wenn sich ein Be-nutzer anmeldet, erstellt Windows NT ein Zugriffs-Kurzzeichen für diesen Benutzer, das denBenutzer und alle Gruppen, denen der Benutzer angehört, identifiziert. Windows NT über-prüft das Kurzzeichen jedesmal, wenn der Benutzer (oder eine Programmgruppe unter demBenutzerkonto) Zugriff auf eine Systemressource fordert. Windows NTs Security ReferenceMonitor (SRM) analysiert Benutzer- und Gruppengenehmigungen für das Objekt und triffteine Entscheidung. Es bestehen bzgl. der grundlegenden Sicherheitsmechanismen keineUnterschiede zwischen dem NT-Server und einer -NTWorkstation.

Der EventLog Service bietet eine einfache Methode zum Erfassen von Informationen überden System-Start, Konfigurationsfehler, Sicherheitsereignisse und Anwendungsereignisse.Diese Informationen sind die wichtigste Quelle für Fehlerbehebung und die Leistungsüber-wachung.

Windows NT Server kann Erfolg und Mißerfolg für jedes der folgenden Sicherheitsvor-kommnisse protokollieren:• Anmelden und abmelden. • Datei- und Objektzugriff.• Benutzer- und Gruppenverwaltung. • Neustart, ausschalten & Systemsicherheit• Prozeßaufzeichnung.

Windows NT Server zeichnet folgende Ereignisse in seinen drei Protokolldateien auf:• Systemprotokoll. Aufzeichnen von Systemereignissen• Sicherheitsprotokoll. Zeichnet Ereignisse für Revisionen auf.• Anwendungsprotokoll. Für Anwendungen zum Aufzeichnen wichtiger Ereignisse.

Die Protokolle zeichnen fünf verschiedene Ereignistypen auf:Informationsereignisse, Warnereignisse, Kritische Fehler, Erfolgs- und Mißerfolgsrevisionen.

Für eine genauere Analyse des Windows NT Basissystems und seiner Sicherheitsvorkeh-rungen vergleiche z.B.: Groß, Alfred - Analyse der Sicherheitsfunktionalitäten des Netzwerk-betriebssystems Windows NT, Der Hamburgische Datenschutzbeauftragte, Dezember 1996.


2. Microsoft BackOffice

2.1 SQL-Server2.1.1 FunktionsbeschreibungMicrosoft SQL Server ist ein relationales Datenbank-Managementsystem, das den im unte-ren Leistungsspektrum notwendigen Umfang abdeckt. Er ist eine Ergänzung der Intranet-und Internet-Serverstruktur um eine Datenbank, in der man alle relevanten Daten speichern,aufbereiten und abrufen kann. Dieses Datenbankmanagementsystem nutzt die Prinzipiender Client-Server-Datenverarbeitung. Als Clients können z.B. der SQL Enterprise Manager,MS Access aber auch jede andere Clientsoftware, die eine ODBC- oder DB-Library-Schnittstelle besitzt, eingesetzt werden.

Zu den Eigenschaften des RDBMS gehören die Transaktionsverarbeitung, die Aufrechter-haltung der Referenzdatenintegrität, die Transaktionsverteilung sowie die Datenreproduktionbzw. integrierte Datenreplikation. Es verfügt außerdem über einen Satz vollgrafischer Ver-waltungshilfsmittel. Durch die Skalierbarkeit von Windows NT ist der SQL Server an ver-schiedene Unternehmensgrößen und Aufgaben einfach adaptierbar. Das BackOffice-Paket2.0 enthält noch den SQL Server 6.0. Microsoft SQL Server 6.5 wurde erst kurz nach Her-ausgabe von BackOffice 2.0 auf den Markt gebracht.

Auffallend sind die zwingenden Abhängigkeiten anderer MS Backoffice-Produkte vom SQL-Server. Letzterer verfügt über eine eingebaute Integration mit dem Microsoft Internet Infor-mation Server. Weiterhin ist auch der Systems Management Server (SMS) nicht ohne eineInstallation des SQL Servers zu betreiben. SMS speichert die Informationen über das Netz-werk in einer SQL Server-Datenbank. Dadurch wird die Zeit reduziert, die notwendig ist, umSMS zu verwalten, weil die Datenbankverwaltung bereits als Teil der SQL Server-Installationdurchgeführt wird. Der Exchange Server stützt sich hingegen noch nicht auf den SQL-Server, sondern auf eine interne Microsoft-Datenbank. Die starke Integration in Windows NTServer und die BackOffice-Familie wurde in Release 6.5 konsequent fortgesetzt und spiegeltsich z.B. in der Unterstützung des Exchange Servers 5.0 wieder. Microsoft wird auch in derZukunft dieses Muster für seine BackOffice- Produkte beibehalten.

Zu den wichtigsten Erweiterungen und Neuerungen in Version 6.5 zählen die Integration desTransaktionskoordinators DTC (Distributed Transaction Coordinator), die Unterstützung fürdas Internet, neue Funktionalitäten für den Einsatz als Data Warehouse-Datenbank sowiedie Unterstützung der PowerPC-Plattform. Verteilte Transaktionen über mehrere voneinan-der unabhängige Datenbankserver können im neuen Release sehr einfach mit dem Distri-buted Transaction Coordinator (DTC) realisiert werden. Dieser neue unter Windows NT lau-fende Service ermöglicht auch die Verteilung von Transaktionen mittels anderer Transakti-onsmonitore im Unternehmensnetzwerk. Neben den Standards, die bereits die Vorgänger-version erfüllte (wie ODBC, OLE, MAPI und Win32), beinhaltet die neue Version nun auchden ANSI-92 Standard, SNMP, XA und ist als eine von wenigen relationalen DatenbankenNIST- und FIPS-zertifiziert. Weiterhin unterstützt der SQL-Server die standardisierten Netz-werkprotokolle TCP/IP, IPX/SPX, NetBEUI, DEC Pathworks, Apple Talk, Vines IP und SNA(über den Microsoft SNA Server). Um den Microsoft SQL Server auch als Datenbank imData Warehouse einsetzen zu können, wurde neben dem CUBE- und dem ROLLUP-Operator eine Replikation zu heterogenen Datenbanken (z. B. Oracle, Sybase oder auchMicrosoft Access) in das Produkt implementiert.

Die Struktur der Datenbank kann mit dem SQL Server flexibel mit grafischen Tools aufge-baut und verwaltet werden, wobei man die Daten beliebig im Netzwerk verteilen kann. Diegesamte Administration läßt sich von einer Arbeitsstation aus steuern. Durch die Kompatibi-lität der einzelnen BackOffice Produkte paßt der SQL Server in die Struktur des NT Serversund somit auch als Ergänzung zum Internet Information Server, woraus sich gute Vorausset-zungen für eine Internet-Präsentation von Daten ergeben. Die Darstellung der Datenbankin-


halte kann man mit dem Web Assistenten an die gewünschten Vorlagen einspielen. Dieserlaubt eine benutzerfreundliche Darstellung der abgerufenen Dateninformationen. Die Per-formance und der schnelle und gesicherte Informationszugriff wird dabei kaum beeinträch-tigt. Dabei spielt es nur eine geringe Rolle, welches Datenvolumen man über den SQL Ser-ver generiert.

Von besonderer praktischer Bedeutung sind:• Integration von Microsoft Office- und BackOffice-Anwendungen• Niedrige Betriebskosten - das heißt, geringer Bedarf an technischer Unterstützung, kurze

Entwicklungszeiten und niedrigere Hardware/Softwareausgaben• Unterstützung von Standard-SMP-Hardware (SMP: Symetric Multiprocessing) - bietet effi-

ziente Skalierbarkeit• Offene Standards - Unterstützung von ODBC, SNMP, ANSI-SQL, HTML, Java und alle

gängigen Netzwerkprotokolle• Verwaltungswerkzeuge für eine einfache und zentralisierte Verwaltung• Integration in Internet und Intranet - der Web-Assistent erzeugt auf Grundlage von Daten

aus SQL-Server nach Zeitplan oder über Trigger gesteuert HTML-Seiten

2.1.2 SicherheitsaspekteZugriffsrechte

Die Sicherheit des SQL-Servers umfaßt verknüpfte Elemente (Tabellen, Sichten, gespei-cherte Prozeduren), anhand derer diverse Beschränkungen festgelegt werden können. Imeinzelnen läßt sich bestimmen, welche Benutzer sich anmelden können, wer auf eine be-stimmte Datenbank zugreifen darf, auf welche Datenbankobjekte ein Benutzer zugreifen darfund welche Transact-SQL-Anweisungen ein Benutzer auf den verschiedenen Datenbanken,auf die er Zugriff hat, ausführen darf. Man kann sehr flexibel festlegen, wer in den Tabellenoder Sichten der Datenbanken oder sogar in einzelnen Spalten Daten einsehen oder ändernkann.

Die SQL-Sicherheit baut dabei auf den Sicher-heitsmechanismen des Windows NT-Servers auf(Abb.2).

Es kann auch ein automatisiertes System erstelltwerden, das Gruppen einrichtet und Berechtigun-gen zuweist; als Grundlage hierfür dienen Abfra-geergebnisse aus anderen Anwendungen oderbestimmteDaten, beispielsweise Organigramme oder Listenmit Mitarbeiterpositionen. Um eine Anwendung zuerstellen, die Sicherheitsmaßnahmen für ein Da-tenbanksystem einrichtet, kann VB Datei-E/A,OLE oder API verwendet werden. Die Informatio- Abb.2: Sicherheitshierarchienen können im Anschluß verwendet werden, um Login-, User- oder Group- Objekte zu er-stellen. Anschließend werden mit Hilfe der Methode Grant Berechtigungen für Table-, Data-base- oder StoredProcedure-Objekte zugewiesen. Das unbefugte Einschleusen solch auto-matisierter Programme mit dem Ziel, sie später vom ‚Super-User‘ unwissentlich ausführen zulassen, kann durch sehr restriktive Handhabung der NT-basierten Zugriffsberechtigungenverhindert werden.

Authentisierung

Der SQL-Server bietet System- und Datenbankadministratoren die Möglichkeit festzulegen,welchen Clients eine Anmeldung beim Server erlaubt ist. Er verfügt hierfür über 3 Sicher-heitsmodi, die wie die meisten Sicherheitsoptionen im SQL-Enterprise Manager festgelegtwerden:


1. Standard-Sicherheit: Dieser Modus ist standartmäßig voreingestellt. Bei jeder Verbin-dungsanfrage wird ein Client zusätzlich zum vorher erfolgten Windows-NT Login zur An-gabe eines Benutzernamens und Kennwortes aufgefordert. Hierbei setzt SQL Server seineigenes Authentisierungsverfahren für alle Verbindungen ein (außer wenn Clientanwen-dungen ausdrücklich die integrierte Sicherheit über die vertrauten Verbindungen anfor-dern).

2. Integrierte Sicherheit: Der SQL-Server erhält die Anmeldeinformationen vom NT-Sicherheitssystem, so daß keine zusätzlichen Anmeldungen erforderlich sind. Eine Verbin-dung, die von einem Client in diesem Modus hergestellt wird, wird als vertraute Verbindungbezeichnet. Beim integrierten Modus werden für alle Verbindungen Windows NT-basierteEchtheitsbestätigungsverfahren eingesetzt. Nur vertraute Verbindungen mit dem SQL Ser-ver sind zulässig. Der in der Login-Anforderung von einer DB-Library- oder ODBC-Clientanwendung (Open DataBase Connectivity) angegebene Login-Name und das SQLServer-Kennwort werden von SQL Server ignoriert. Netzwerkbenutzer, denen Berechti-gungen auf Benutzerebene für SQL Server erteilt wurden, melden sich unter ihrem Netz-werkbenutzernamen bzw. der Standard-Login-ID an (falls der Netzwerkbenutzername nichtin der Tabelle syslogins gefunden wird).

3. Gemischte Sicherheit: Der SQL-Server ermöglicht auch eine Kombination aus integrier-tem und Standard-Modus. Hierbei sind sowohl vertraute als auch nichtvertraute Verbin-dungen zulässig. Bei vertrauten (Multi-Protokoll- oder Named Pipes-) Verbindungen unter-sucht SQL Server den angegebenen Login-Namen in der Form, wie er von der Client-DB-Library- oder ODBC-Anwendung angegeben wurde. Stimmt der Login-Name mit demNetzwerkbenutzernamen des Benutzers überein oder wird keine Benutzerkennung einge-geben, versucht SQL Server zunächst, wie oben beschrieben, die Anmelderegeln des inte-grierten Modus anzuwenden. Schlägt dies fehl, verwendet SQL Server die Standardregeln.

Weitere Informationen zu den Sicherheitsmodifinden sich im Benutzerhandbuch sowie in derOnline-Dokumentation im Systemadministrator-handbuch, Teil 4 (Sicherheit), Kapitel 8 (Sicher-heitskonzepte), „Sicherheitsmodus des Serversbeim Login“.ZugriffsschutzDie Anweisungen zur Datenmanipulation (Ein-fügen, Aktualisieren, Löschen) sind mit Hilfeeiner gespeicherten Prozedur zu verwalten, sodaß es dem Benutzer nicht ermöglicht wird, dieTabellendaten direkt zu manipulieren.Die Anweisungen können zwar direkt ausge-führt werden, aber das Einschließen in gespei-cherte Prozeduren bietet zusätzliche Sicherheitund Wartungsfreundlichkeit. Gespeicherte Pro-zeduren bieten höchst wirksame Methoden zurSicherung der Datenintegrität in gemischten An-

Abb.3: SQL-Sicherheitsmodi wendungsumgebungen. So kann beispielsweiseverhindert werden, daß Benutzer o.g. UPDATE, INSERT- und DELETE-Operationen außer-planmäßig auf Tabellen vornehmen. Der Systemadministrator kann genau kontrollieren,wann und auf welche Weise Daten für die einzelnen Benutzer oder Benutzergruppen in derDatenbank geändert werden.Der SQL-Server unterstützt die sog. WITH CHECK OPTION auf Sichten, wodurch sicherge-stellt werden kann, daß Benutzer nur die Daten abfragen und ändern können, die ihnendurch die Sicht angezeigt werden. Diese Option gewährleistet, daß alle an der Sicht durch-


geführten Anweisungen zur Datenänderung dieKriterien erfüllen, die in der für die Definition derSicht verwendeten SELECT-Anweisung fest-gelegt wurden.VerschlüsselungDie Multi-Protokoll-Net-Library unterstützt dieVerschlüsselung von Daten, insbesonderePaßwörtern, bei der Kommunikation über ver-traute Verbindungen. Die Verschlüsselung kannentweder auf dem Client eingestellt oder vom

Abb.4: Hierarchie der SQL-Sicherheitseinstellungen Server für alle Clients erzwungen werden. Beider vom Server erzwungenen Verschlüsselung wird automatisch die gesamte Kommunikati-on zwischen Client, der die clientseitige Multi-Protokoll-Net-Library verwendet, und dem Ser-ver, der die serverseitige Multi-Protokoll-Net-Library verwendet, verschlüsselt.

Die vom Server erzwungene Verschlüsselung wird nur von der Multi-Protokoll-Net-Libraryunterstützt. Falls daneben auf dem Server Net-Libraries für andere Protokolle geladen wer-den, verwenden eingehende Verbindungen über diese Net-Libraries keine Verschlüsselung.Das Net-Library-Multi-Protokoll nutzt die Vorteile der abgesetzten Prozeduraufrufe (RPC)von Windows NT. Im Gegensatz zu anderen Net-Libraries muß die Multi-Protokoll-Net-Library lediglich als Option in dem Dialogfeld Auswahl der Netzwerkprotokolle gewählt wer-den und erfordert keine Eingabe von Konfigurationsparametern. Darüber hinaus erfüllt dieMulti-Protokoll-Net-Library folgende Funktionen:• Kommunikation über die meisten von Windows NT unterstützten IPC-Mechanismen.• Verwendung der integrierten Sicherheitsfunktionen, die RPC unterstützt (einschließlich

Novell-Clients unter Windows, die SPX oder IPXODI verwenden).Der SQL-Server bietet nur sehr eingeschränkte Möglichkeiten zur Verschlüsselung von Da-ten aud dem Datenträger. Allenfalls gespeicherte Prozeduren, Sichtdefinitionen oder Triggerkönnen mit Hilfe der Klausel WITH ENCRYPTION in der Tabelle syscomments verschlüsseltund so vor dem Benutzer verborgen werden, sofern dies unbedingt notwendig ist.Administration

Der Datenbankadministrator (DBA) installiert den Microsoft SQL Server, erstellt Verfahrenund Standards, plant die Kapazitätsanforderun-gen und ggf. Datenbanken und Server-Prozesse, sichert und korrigiert ggf. Datenban-ken, verbessert die Leistung der Datenbankan-wendungen, hilft Anwendungsentwicklern undDatenbankverwendern bei sämtlichen Daten-bankproblemen. Ein DBA kann auch für dieVerwaltung der Daten verantwortlich sein, die inden SQL Server-Datenbanken der Organisationgespeichert sind.Bei derart umfassenden Möglichkeiten sollte beider Definition der Rechte besonders sorgfältigvorgegangen werden. Da die Rechtedefinitionsich auch auf abhängige Programme auswirkenkann (z.B. SMS), sollten allzu weitreichende

Abb.5: Rechtevergabe im SQL-Enterprise-Manager Kompetenzen (insb. die Rechtevergabe selbst)nicht in die Hände eines einzelnen gelegt werden.

Da ein Zugang nach dem Vier-Augen-Prinzip vom System selbst nicht vorgesehen ist, bietetsich die Einrichtung eines geteilten ‚Super-User‘-Passworts für mehrere Administratoren an.Jeder einzelne erhält ansonsten spezialisierte Rechte für den jeweils zugedachten Verant-wortungsbereich. Es bietet sich an, zumindest die Berechtigungen des Datenbankadmini-strators und des Netzwerkadministrators zu trennen. Der Datenbankadministrator sollte be-


züglich der SMS- und anderer Login-Datenbanken eingeschränkte Rechte erhalten, so daßeine Manipulation der Kompetenzen weitgehend ausgeschlossen wird. Im übrigen könnenauch Benutzer oder ganze Benutzergruppen, die zuvor im Windows NT-Benutzer-Managereingerichtet worden sind, zur Verwendung unter SQL-Server eingerichtet werden. Als Hilfs-mittel zur Autorisierung dieser Gruppen dient der SQL-Security Manager:

Abb.6: Der SQL-Security-Manager

Einzelaspekte

Vorsicht ist geboten, wenn neben dem SQL-Server auch der IIS installiert ist. Wird der Web-Server über das ‚NT-Option Pack‘ eingerichtet, installiert sich standardmäßig der RemoteData Service (RDS) für den Datenbankzugriff über das Web. Dieser widerum enthält einenBug, der Eindringlingen Zugang zu sämtlichen Daten der Organisation bietet. Das Risiko desunerlaubten Zugriffs steigt, wenn OLE-DB-Provider installiert sind. Sie erlauben zusätzlichdie Ausführung von Shell-Kommandos. Der RDS-Dienst ist also unbedingt zu deaktivieren.

Handlungsempfehlungen:• Das Prinzip der minimalen Zugriffsrechte muß Anwendung finden, d.h. Benutzer und Ope-

ratoren dürfen nur die Rechte erhalten, die sie zum Ausüben Ihrer Tätigkeit benötigen.• Sollen die Zugriffsberechtigungen automatisiert zugewiesen werden (z.B. mit der Methode

Grant oder dem Security Manager auf Basis der NT-Zugriffsrechte), sollte unbedingt eineNachbesserung und Pflege der Rechte gemäß des oben genannten Punktes erfolgen.

• Anweisungen zur Datenmanipulation dürfen ausschließlich über gespeicherte Prozedurenerfolgen.

• Die Multi-Protokoll-Net-Libary sollte verwendet werden, um anschließend von Seite desServers eine Verbindungsverschlüsselung für alle Clients zu erzwingen.

• Administrationsrechte, die über die zum Tagesgeschäft notwendigen hinausgehen, solltenmit einem zusammengesetzten ‚Super-User‘-Passwort nach dem Vier-Augen-Prinzip ge-schützt werden, so daß eine Autorisierung von mindestens zwei Administratoren erfolgt.

• Besondere Sorgfalt sollte bei der Installation des SQL-Server auf die Auswahl des geeig-neten Sicherheitsmodus gelegt werden. Eine allgemeine Empfehlung diesbezüglich läßtsich nicht geben, da die individuelle Nutzung hierfür ausschlaggebend ist. In vielen Fällenreiner geschlossener Windows-NT Netze ist integrierte Sicherheit sicherlich ausreichend.


• Wenn es die Organisationsstruktur zuläßt , sollte der NT-Administrator nicht gleichzeitigDBA sein.

• Der RDS (Remote Data Service) des IIS muß unbedingt deaktiviert werden.

2.2 Systems Management Server2.2.1 FunktionsbeschreibungMicrosoft Systems Management Server wurde für die Verwaltung von vernetzten PC‘s ent-wickelt. Er fügt sich dabei nahtlos in die bereits vorhandene Systemumgebung durch dieUnterstützung der gängigen Netzwerkmanagementsysteme wie etwa HP OpenView, CAUnicenter oder SNI TransView ein. Der Systems Management Server ermöglicht die Ver-waltung räumlich verteilter Windows-basierter Rechner von einer zentralen Stelle aus. Durchseine Architektur kann man in Netzen jeder Größenordnung, die aus diversen Domänen be-stehen können, typischerweise jedoch auf einen Standort beschränkt bleiben, alle Aufgabeneiner zentralen PC-Administration erledigen.

Um die installierten Anwendungen zu inventarisieren, erkennt der SMS Inventory Agent biszu 4500 Standardapplikationen. Dies versetzt den Administrator in die Lage, auf einfacheWeise zu kontrollieren, welche Anwendungen tatsächlich installiert sind und wie viele Kopiendavon im Netzwerk vorhanden sind. Weiterhin lassen sich die Rechner innerhalb des Netz-werks problemlos lokalisieren, Hardware-Konfigurationen erfassen und Schlüsselinformatio-nen zurück an eine zentrale Datenbank senden, auf der sämtliche Bestandsdaten des SMSgespeichert werden. Mit Hilfe dieser Informationen hat man die Möglichkeit, die Verteilungvon neuen Anwendungsprogrammen und Update-Versionen effizient zu planen. SMS erlaubt

die automatische Verteilung und Installationsämtlicher Software von zentraler Stelle aus.

Jeder primäre Standort muß über eine eige-ne Standort-Datenbank verfügen.

Darüber hinaus lassen sich beliebig vielesekundäre Standorte einrichten, die ihre Be-standsdaten an den übergeordneten primä-ren Standort weiterleiten. Ausgehend voneinem zentralen Standort, der Wurzel einesHierarchiebaumes, läßt sich so eine beliebi-ge Struktur von Standorten erstellen.

Die Remote-Control-Funktion ermöglichteinem Systemadministrator, jede Operationauf einer Windows NT-basierten Maschineso auszuführen, als säße er vor der Maschi-

Abb.7: Beispiel einer SMS-Standorthierarchie ne selbst. Er holt sich quasi den Client-Bildschirm auf seinen Administratorbildschirm. Remote Control läßt sich in einem LAN, ineinem WAN sowie über das Internet ausführen; dabei wird eine Vielzahl von Protokollen, u.a.X.25 und ISDN, unterstützt. Um Administratoren in verstärktem Maße bei der Verwaltung vonWindows 95-basierten Rechnern zu helfen, wurde der SMS 1.2 mit der Unterstützung von"Shared Applications" für Windows 95 ausgestattet.

Die Funktionen des SMS sind auf eine Server- und eine Client-Installation verteilt. Letzterekann problemlos über das Netzwerk erfolgen. Der Client dient dem Benutzer im wesentli-chen zur Einstellung seiner HelpDesk-Optionen, aber auch der Aktivierung von Aufträgendes Paketinstallations-Manager; darüber hinaus erleichtert er die Kommunikation zwischenClient und Server.


Zum Start der Remote Funktionen benötigt der Client USERTSR oder USERIPX. USERTSRwird in Verbindung mit einem Transportprotokoll verwendet, das NetBIOS (NetBEUI oderTCP/IP) unterstützt, und USERIPX mit dem IPX-Transportprotokoll. Darüber hinaus werden,wie vom gesamten BackOffice-Paket, FTP, SMTP, SNMP, SPX, AFP und ODS über dieStandard-Ports unterstützt.

SMS 1.2 gibt NT-Systemereignisse an einen SNMP Trap Konverter weiter. Dadurch wirdeiner beliebigen SNMP Management-Konsole ermöglicht, kritische Systemereignisse aufeinem Windows NT-basierten System, wie z. B. zu wenig Speicherplatz oder Sicherheits-verletzungen, zu behandeln und SNMP Traps zu generieren. Ein SNMP Trap kann zu einerManagement-Konsole weitergeleitet werden, um den Administrator über das kritische Ereig-nis zu informieren. Typische Management-Konsolen, die hierzu verwendet werden können,sind etwa HP OpenView, IBM Netview AIX, Digital POLYCENTER, Siemens Nixdorf Trans-View und SMS.

Die wichtigsten Funktionen sind:• Aufbau und Unterhalt eines Bestands von Rechner-Hardware und –Software• Verteilung, Installation und Konfiguration von Software-Paketen• Verwalten von auf Servern basierenden Anwendungen für das Netzwerk• Erstellen von Netzwerkprotokollen und Analysen zum Verkehrsaufkommen• HelpDesk-Unterstützung, Diagnose- und Fernsteuerungs-Funktionen• Netzwerkmanagement / Unterstützung von Standard-Schnittstellen• Unterstützung von ODBC, OLE, SNA, MAPI, TAPI, ISAPI

Einige der von SMS unterstützten Standards beinhalten folgendes:• Desktop Management Interface (DMI), Standard der Desktop Management Task Force• Management Information File (MIF), ein von DMTF definierter Standard• Simple Network Management Protocol (SNMP) (Windows NT SNMP-Service)• NetView von IBM unter Verwendung von SNA Server NetView Alert-Service

SMS beinhaltet folgende Dienste:• SMS Executive • SMS Site Configuration Manager • Inventory Agent• SMS Site Hierarchy Manager • Package Command Manager • SNA Receiver

SMS Executive ist aus Komponenten aufgebaut, die separat oder als Gruppe gesteuert wer-den können. Die folgenden Komponenten bilden das Programm SMS Executive:• Inventory Data Loader • Inventory Processor • SMS Alerter• Despooler • Applications Manager • Site Reporter• Maintenance Manager • LAN-Sender • RAS-Sender• SNA-Sender • Scheduler

2.2.2 SicherheitsaspekteFerninstallationen

Die Rolle des SMS-Verwalters, der üblicherweise auch Administrator des SQL-Servers ist,steht einzigartig da. Es entsteht oft irrtümlich der Eindruck, daß er wenig mehr als ein über-schätzter Software-Installierer ist. In einem großen Netzwerk könnte das nicht weiter von denTatsachen entfernt sein; der Schritt zum allmächtigen Operator ist jedoch nur wenige Konfi-gurationseinstellungen entfernt. Besonders zu erwähnen sind diesbezüglich die unkontrol-lierte Generierung von Installationspaketen, wobei die zu installierende Software modifiziertsein kann.

Pakete werden normalerweise aus dem Quellmedium heraus generiert und für die Verteilungvorbereitet. Durch Veränderung dieser Installationsversionen im Ordner SMS_PKGC nochvor der Auftragsfreigabe kann ein Operator z.B. Skripts implementieren, die bei Ausführungder Software ihrerseits Funktionen auf dem Client aktivieren, die normalerweise durch den


Benutzer gesperrt sind. Es folgt, daß zum einen o.g. Ordner durch einen ‚Super-User‘ auchfür die Administratoren gesperrt sein muß, zum anderen die Erstellung von Installationspa-keten nur von unveränderten Originalversionen erfolgen darf.

Noch vorsichtiger muß man bei der Verwendung der Remote-Dienste des SMS sein. Hierbeisollten die Empfehlungen des Hamburgischen Datenschutzbeauftragten zu Datensiche-rungsmaßnahmen bei Fernwartung sowie Fersteuerungs- und Netzwerkkontrollprogrammen(vgl. 11. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten von 1992, Abschnitt3.3/ 3.4, S.24ff.) berücksichtigt werden.

Dies betrifft vor allem die Vergabe von Rechten für die unbemerkte Installation von Softwareoder Dateien, z.B. über den (R)SERVICE-Dienst oder mit Hilfe des Package-Control-Managers (PCM) unter Verwendung der mitgelieferten Dateien PCMSVC32.EXE undPCMWIN32.EXE. Diese ermöglichen sogar bei abgemeldetem Client einen Remote-Zugriff,so daß einem Benutzer nicht einmal die Tatsache einer erfolgten Veränderung mitgeteiltwird. Über diese Dienste können beispielsweise auch Dateien in gesicherten Ordnern instal-liert oder gesicherte Registrierungsschlüssel geändert werden. Ein Benutzerkonto mit Admi-nistratorrechten auf dem jeweiligen Rechner, die Berechtigung für Domänen-Benutzer zumLesen einer PCM-Anweisungsdatei auf dem SMS-Anmeldeserver sowie zum Ausführen ei-nes Installationsprogramms im Paketordner auf dem SMS-Distributions-Server (sofern für dieSoftwareverteilung ein eigener Server eingerichtet wurde) ist für diese Dienste erforderlich.

Die Gruppe Domänen-Admins sowie Domänen-Benutzer, die auch lokale Administrator-rechte haben, erfüllen diese Kriterien und sollten entsprechend eingeschränkt werden. Einnormaler Benutzer, der in der Lage wäre, die Datei PCMSVC32.EXE durch seine eigenenDienstanweisungen zu ersetzen, könnte sich hierdurch die vollständigen Berechtigungen desDomänen-Admin verschaffen. Benutzer sollten also keinen Administratorzugriff auf ihrenRechner haben, oder, noch besser, der PCM-Dienst ist vollständig von den Clients zu ent-fernen, bzw. gar nicht erst zu installieren.

Aus Sicherheitsgründen sollte das SMS-Dienstkonto von Zeit zu Zeit an allen Standortenersetzt werden. Dies geschieht am komfortabelsten mit dem NEWSVCAC-Dienst (New Ser-vice Account Creator) gemäß Manual.FernsteuerungBei den standardisierten Remote-Operationen kann dem Datenschutz hingegen in vollemMaße Rechnung getragen werden. Mit den HelpDesk-Optionen kann der User einzelne Re-mote-Zugriffsarten (de-) aktivieren. Die Deaktivierung der Optionen hat den Nachteil, daßZugriffsversuche des Servers zwar abgewiesen, jedoch nicht einmal bemerkt werden.Bei aktivierten Funktionen wird der Zugriffswunsch des anfragenden Rechners incl. desNetzwerknamens des dort angemeldeten Benutzers übermittelt und eine Erlaubnis des lo-kalen Users eingeholt:

Abb.8: SMS Sicherheitsabfrage

Darüber hinaus hat der Benutzer ständige Kontrolleüber die Aktivitäten des Administrators und kanndie Remote-Operation jederzeit abbrechen, soferner in den notwendigen Rechten (Task/Prozeß be-enden) nicht beschnitten wurde.

Abb.9: SMS-Client HelpDesk-Optionen

Administration

Der SMS Security Manager ermöglicht es, unterschiedliche Zugriffsrechte für verschiedeneBenutzer einzustellen. Nachdem diese Rechte eingestellt sind, können die Benutzer mit dem


Programm SMS Administrator die Arbeiten ausführen, für die ihnen Befugnisse eingeräumtwurden. Auf diese Weise wird es möglich, die unterschiedlichen Aufgaben, die bei der Ver-waltung eines SMS-Systems anfallen, auf verschiedene Individuen zu verteilen und mit denSicherheitsmechanismen des SMS eine unbefugte Verwendung des SMS Administrators zuverhindern. Standardmäßig haben Benutzer keinerlei Zugriffsrechte auf das Programm SMSAdministrator.

Die Sicherheitsfunktionen des SMS basieren auf den entsprechenden Mechanismen desSQL Server. Indem man steuert, wer Zugriff auf die SMS-Datenbank und die Tabellen inner-halb dieser Datenbank hat, kann effektiv Einfluß darauf genommen werden, wer die ver-schiedenen administrativen Funktionen des SMS anwenden darf. Der Microsoft SQL Serverbietet verschiedene Datenschutzmodelle an: standard, integriert und kombiniert. Das Modell,das für den SQL Server ausgewählt wird, beeinflußt die SQL Server-Login-ID, unter der manden SQL Administrator startet (vgl. 2.1).

Damit ein Benutzer den SMS Administrator für administrative Aufgaben einsetzen kann, mußfür diesen Benutzer eine SQL Server-Login-ID eingerichtet werden und der Benutzer mußein Zugriffsrecht auf die Standort-Datenbank erhalten. Eine übermäßige Machtstellung kannzunächst einmal unterbunden werden, indem man eine deutliche Trennung der SMS-Datenbanken von anderen, möglicherweise auf dem SQL-Server installierten Datenbankenvornimmt. Im Optimalfall lassen sich die SMS-Daten auf einem eigens für sie bestimmtenSQL-Server einrichten.

Eine andere einfache Lösung für Benutzer, die den SQL Server ausschließlich zum Zugriffauf die SMS-Datenbanken verwenden, besteht darin, ihnen mit Hilfe des SQL EnterpriseAdministrator eine Login-ID einzurichten und die Standort-Datenbank als Standarddatenbankdes entsprechenden Benutzers einzustellen. Nachdem eine Login-ID und ein Benutzernamefür den Benutzer vergeben sind, kann man der betreffenden Person mit Hilfe des SMS Secu-rity Manager die gewünschten Rechte einräumen.

Es wird zwischen »No Access« (kein Zugriff), »View Access« (Lesezugriff) und »FullAccess« (vollständiger Zugriff) unterschieden:

• No Access (kein Zugriff). Dieses Zugriffsrecht verwehrt dem Benutzer jegliche Möglichkeit,das fragliche Objekt zu betrachten oder zu modifizieren. Wenn einem Benutzer für denHelpDesk beispielsweise No Access zugewiesen wurde, ist er oder sie außerstande, dieHelpDesk-Funktionen zu aktivieren. »No Access«, auf Aufträge bezogen, hindert den Be-nutzer daran, das Fenster »Jobs« zu öffnen. Wenn man »No Access« auf Pakete bezieht,kann der Benutzer das Fenster »Pakete« nicht öffnen, nicht einmal auf Pakete in den Fen-stern »Job Properties« oder bei der Definition von Programmgruppen zugreifen.

• View Access (Lesezugriff). Der Benutzer kann das Objekt betrachten, aber keine Objektedieses Typs anlegen oder vorhandene Objekte modifizieren. Lesezugriff auf Pakete erlaubtes dem Benutzer, Pakete einzusehen und bei der Definition von Aufträgen zu benutzen(falls er vollständigen Zugriff auf Aufträge hat), aber der Benutzer kann die Charakteristikendes Pakets auf keine Weise ändern.

• Full Access (vollständiger Zugriff). Der Benutzer kann Objekte dieses Typs betrachten,anlegen und modifizieren.

Die verschiedenen Objekte in der SMS-Datenbank hängen eng miteinander zusammen. Esist daher logisch, daß Einstellungen für diese Objekte auch die für andere Objekte erforderli-chen Zugriffsrechte beeinflussen, damit Ihre Einstellung ordnungsgemäß funktioniert.

Um die Vergabe von Rechten für SMS-Verwalter zu vereinfachen, sind einige vordefinierteRollen als Schablonen entwickelt worden. Passende Zugriffsrechte für verschiedene Objektesind darin unter Berücksichtigung der Objektbeziehungen voreingestellt. Es ist sinnvoll, aufdiese Schablonen zurückzugreifen, wenn Zugriffsrechte für die Benutzer vergeben werdensollen.


Schablonen sind für die folgenden Typen administrativer Rollen für den SMS eingerichtetworden:• Asset Manager • HelpDesk• Job Manager • Network Monitor• Software Manager • Tech Support

Handlungsempfehlungen:• Die bei der Installation eingerichteten Verzeichnisse und Dateien sind auf die Notwendigkeit

der vergebenen Berechtigungen hin zu überprüfen und gegebenenfalls zu korrigieren.• Benutzer dürfen keine Administratorrechte auf ihrem Client haben.• Die HelpDesk-Optionen sollten auf dem Client durchweg aktiviert sein.• Keinesfalls darf der PCM-Dienst auf Clients installiert werden, er sollte dort lediglich als

Anwendung mit den jeweiligen Benutzerrechten verfügbar sein.• Das Prinzip der minimalen Zugriffsrechte muß Anwendung finden, d.h. Operatoren dürfen

nur genau die Rechte erhalten, die sie zum Ausüben Ihrer Tätigkeit benötigen.• Die vordefinierten Rechteschablonen sollten als Grundlage für die Rechtevergabe beim

SMS-Server dienen.• Es bietet sich eine Trennung von DBA und SMS-Administrator an.

2.3 Exchange Server2.3.1 FunktionsbeschreibungDer Exchange Server wird oftmals als die E-Mail-Komponente des BackOffice-Paketes an-gesehen. Er bietet jedoch mehr als nur E-Mail. Es handelt sich um ein Produkt zur Lieferungvon Meldungen und Informationen zu allgemeinen Zwecken, das den Austausch von Infor-mationen zwischen Personengruppen und die Entwicklung von Arbeitsgruppenanwendungenerleichtert.

Man kann den Exchange Server anfänglich für E-Mail verwenden. Um seine Möglichkeitenjedoch in vollem Umfang auszunutzen, müssen seine Fähigkeiten zur gemeinsamen Nut-zung von Informationen und seine ‚Programmable Forms‘ zum Vorteil genutzt werden.

Der Microsoft Exchange Server 5.5 ist vor allem ein Messaging- und Groupware-Server;Kennzeichen des Servers ist die Integration in Internet-Dienste wie Mail und News, die Un-terstützung von E-Mail Funktionen, Gruppenterminplanungen, Groupware Anwendungen,elektronischen Formularen und die integrale Zusammenarbeit mit Windows NT Server, wo-durch die Administration leicht zu bewerkstelligen ist.

Neben der EMail-Funktionalität sind auch Directory Service, private und gemeinsam nutzba-re öffentliche Ordner, der Microsoft Mail Konnektor und die Migrations-Tools enthalten. Jenach Hardwareausbau können somit kleine Arbeitsgruppen oder Hunderte von Benutzernmiteinander kommunizieren und auf gemeinsame Informationen zugreifen. Exchange Server5.5 erleichtert damit die Kommunikation und den Meinungs- und Informationsaustausch fürOrganisationen jeder Größe.

Zusätzlich zum SMTP- und MIME- sowie MAPI- und X.400-Support der Version 4.0 werdenauch die Internet-Standards POP3 für den Zugriff einfacher Internet-Mail-Clients, HTTP undHTML für den Browser-Zugriff auf Exchange Server, NNTP, LDAP und SSL unterstützt. Ex-change Server kann auch als Internet-News-Server fungieren. Dazu ist NNTP als Protokollfür den Nachrichtenaustausch mit Internet-Newsgroups enthalten.

Microsoft Outlook, ein intuitiv zu bedienender Desktop Information Manager, ist als Client fürden Exchange Server im Lieferumfang enthalten. Dieses Front-End bietet dem AnwenderFunktionalitäten für die Kommunikation und Zusammenarbeit mit anderen Exchange-Nutzern. Dazu gehören die Führung von Journalen zum Dokumentenmanagement, Preview-


Funktionen, die integrierte Gruppenterminplanung, Rückruf oder Ersetzen von Nachrichtensowie die Zusammenarbeit mit Microsoft Office 97. In der Standardversion sind jetzt nicht nurSMTP (Internet Mail Service), NNTP (Internet News Service) sowie MS Mail Konnektor undcc: Mail-Konnektor enthalten, sondern auch ein Notes Konnektor, der Exchange Konnektorund MS Visual InterDev zur Entwicklung von Internet- und Intranet-Lösungen. Outlook alsClient zur Exchange-Anbindung ist auch für den 16-Bit- und den Mac-Client integriert. Dar-über hinaus sind Active Server Komponenten für Outlook Web Access enthalten.

Der Exchange Server bietet mit dem Lotus cc:Mail Konnektor eine Verbindung zwischen bei-den Systemen einschließlich Directory-Synchronisation. Er kann dadurch auch als Gateway-Server für cc:Mail genutzt werden. Im Intranet oder aus dem Internet kann der Zugriff auf denExchange Server auch über einen Internet-Browser erfolgen. Der SQL-Server unterstützt dieIntegration in E-Mail durch das SQL-Mail-Leistungsmerkmal. Der Microsoft Exchange Serverist eine Sammlung von Softwareanwendungen, von denen einige Client-basiert und einigeServer-basiert sind und die zusammenarbeiten, um Personengruppen und ganzen Organi-sationen Einrichtungen zurgemeinsamen Nutzung vonInformationen zur Verfügungzu stellen. Auf dem Serverumfaßt dies sowohl Stan-dard- als auch Wahlkompo-nenten. Diese Komponentenarbeiten als eine zusam-menhängende Einheit. Diemeisten Benutzer werdensich nicht bewußt sein, daßdie Server-basierten Dienst-leistungen, die für die Funk-tionalität des Exchange Ser-ver sorgen, keine einzelnenProgramme sind. DiesesDiagramm stellt die Wech-selwirkung zwischen denKomponenten in vereinfach-ter Form dar.

Abb.10: Beziehungen zwischen den Komponenten des Exchange-Servers

Nach Freigabe durch den Administrator können folgende Dienste zur Verfügung gestelltwerden:

• Sicherer Zugriff auf E-Mail-Postfächer

• Gesicherter Zugriff auf Kalenderdaten sowohl von Einzelpersonen wie auch von Gruppen

• Zugriff auf Teamwork-Dienste von Exchange. Dazu gehören Diskussionsforen, öffentlicheOrdner und Newsgroups. Dieser Zugriff kann nach Einrichtung durch den Administratorauch ohne Authentisierung erfolgen.

• Sicherer Zugriff auf Daten, die im Exchange Directory Service abgelegt sind. Dieser Zugriffdient hauptsächlich zur Remote-Administration.

Eine Anzahl von Client-Komponenten arbeitet auch zusammen, um umfassende Meldungs-dienstleistungen für die Benutzer von Desktop-Computern bereitzustellen. Die Client-Komponenten umfassen:


• Exchange Client: Die primäre Komponente, die sowohl Benutzern dabei hilft, ihre Mailbo-xen zu verwalten, E-Mail zu verfassen und zu senden, als auch benutzerdefinierte Formu-lare verwendet, um spezielle Arten von Informationen auszutauschen.

• Schedule+: Eine Komponente, die Benutzer- und Gruppenterminpläne anzeigt, die bei derPlanung von Ressourcen, wie Konferenzräume oder besondere Ausrüstungsgegenstände,und bei der Projekt- und Aufgabenverwaltung hilft.

• Exchange Forms Designer: Erlaubt Organisationen, benutzerdefinierte Formulare herzu-stellen, die den Empfang, die Leitung und die gemeinsame Nutzung von speziellen Artenvon Informationen erleichtert.

Von Bedeutung ist hier die Zusammenarbeit zwischen den Komponenten, um Informationenzu verwalten und zu liefern. In dieser Hinsicht ist der Exchange Server anderen BackOffice-Anwendungen, insbesondere dem SMS, ähnlich, der auch eine Sammlung von Komponen-ten verwendet, um Pakete an Desktop-Computer zu liefern.

Die wichtigsten Funktionen auf einen Blick :• Unterstützung der wichtigsten Internet-Protokolle:

- SMTP und POP3 für die Übertragung von E-Mails - LDAP- HTTP und HTML zur Unterstützung von World Wide Web - SSL

• Auch aus dem Internet oder im Intranet kann der Zugriff auf den Exchange-Server erfolgen• Exchange kann als kompletter Internet-News-Server fungieren: NNTP• Exchange Server unterstützt Apple Macintosh• Clustering wird unterstützt - hierzu wird die Windows NT 4.0 Server-Version benötigt.• Wiederherstellung gelöschter Elemente: Löschfristen sind durch den Administrator be-

stimmbar.• Interoperabilität:

+ Internet-Mail-Konnektor, der Microsoft-Mail-Konnektor (PC), der Microsoft-Mail-Konnektor(AppleTalk), der Schedule+ Frei/Besetzt-Konnektor und der X.400-Konnektor

+ Lotus Notes Konnektor, unterstützt RTF-Format, bildet Dokumentenverweise (DocLinks)auf URLs ab, mit Notes Directory Synchronisation.

+ PROFS/SNADS (Host) Konnektoren zur Integration mit und Migration von zentralenMainframe Messaging-Systemen, Directory Synchronisation als Nachtrag.

• Event & Scripting-Service ohne Programmierung• Geschäfts- und Workflow-Anwendungen erstellen (VB Script, Java u.a.)

2.3.2 SicherheitsaspekteAuthentisierung und Zugriffsschutz

Die Windows NT-Domänen bieten den Sicherheitskontext, von dem alle Exchange Server-Objekte abhängen. Die Windows NT-Sicherheit ist die Grundlage für alle zugeteilten Ge-nehmigungen und für die Prüf- und Überwachungsmöglichkeiten, die vom Exchange Servergeboten werden. Die NT-Serversicherheit identifiziert den Benutzer bei der Anmeldung, dieNT-Zugriffskontrolle überprüft Berechtigungen, Protokolle überwachen System- und Benut-zeraktivitäten. Die erweiterte Exchange-Server-Sicherheit ermöglicht es dem Benutzer, dieIntegrität und Authentizität seiner Daten durch Verschlüs-selungsalgorithmen zu sichern.

Es ist im übrigen nicht notwendig, eine 1:1-Abbildung zwischen Standorten und Domänenherzustellen. Man könnte zum Beispiel eine einzige Windows NT-Domäne für die gesamteOrganisation benutzen und sich dann immer noch entschließen, mehrfache logische Stand-orte (vielleicht einen pro Abteilung) für das Exchange Server-System zu benutzen. Umge-kehrt könnte ein einziger Exchange Server-Standort mehrere Windows NT-Domänen umfas-sen. Man denke daran, daß Domänen dazu bestimmt sind, Sicherheit für die gemeinsambenutzten Ressourcen im Netzwerk zu bieten. Exchange Server-Standorte sind dazu be-stimmt, die Übermittlung und gemeinsame Nutzung von Informationen zu erleichtern. Diebeiden Strukturen können zusammentreffen oder auch nicht.


Um auf einen Exchange Server zugreifen zu können, muß sich der Benutzer nur einmal an-melden. Alle Microsoft Exchange Server-Postfächer sind einem oder mehreren Windows NT-Benutzerkonten zugewiesen. Wenn ein Benutzer sich an einem Microsoft Exchange Server-Computer anmelden möchte, muß die Domäne, in der sich der Server befindet, eine minde-stens einseitige Vertrauensstellung mit der Domäne haben, in der sich das Benutzerkontobefindet.

Man kann den Exchange Server jedoch auch so konfigurieren, daß für einige Internet-Protokolle, wie z. B. NNTP (Network News Transfer Protocol), IMAP4rev1 (Internet MessageAccess Protocol, Version 4rev1) und LDAP (Lightweight Directory Access Protocol) nichtau-thentifizierter Zugriff unterstützt wird, damit auch Benutzer anonym auf Informationen zu-greifen können, die in Microsoft Exchange Server gespeichert sind. Benutzer, die eine nicht-authentifizierte Verbindung zum Exchange Server herstellen, benötigen für den Zugriff aufInformationen kein Windows NT-Benutzerkonto. Wenn man z. B. bestimmte öffentliche Ord-ner für IMAP4-Benutzer außerhalb der Organisation freigeben möchten, kann man nichtau-thentifizierte Verbindungen aktivieren.

Die Seite »Allgemein« der MTA »Eigenschaften« gestattet, einen Namen und ein Paßwortauf Systemebene für den MTA auf einem Server einzugeben. Dies ist nicht notwendig, wennman mit anderen Exchange Servern, die schon sichere RPC-Kommunikationsverbindungenverwenden, am gleichen Standort kommuniziert. Dies könnte allerdings erforderlich sein,wenn man mit auswärtigen X.400-Systemen kommuniziert oder, um zusätzliche Sicherheitzu bieten, wenn man mit Exchange Servern an anderen Standorten verbunden ist.Administration

Ein Servermonitor kann den Status von aktiven Diensten auf einem Server ohne gesonderteAuthentisierung überprüfen. Um aber einen Dienst neu zu starten oder die Uhren auf einemServer zu synchronisieren, muß der Kontext des Benutzerprofils, unter dem der Servermo-nitor läuft, ausreichende Zugangsberechtigung haben. Des weiteren ist diese Art der proakti-ven Überwachung 24 Stunden am Tag, 7 Tage in der Woche in vielen Bereichen erforder-lich. Da es sich dabei nur um Dienste handelt, die mit einem »Account Logging On« unterAufsicht ablaufen können, muß eine Möglichkeit gegeben sein, sich automatisch auf Win-dows NT einzuloggen und die Monitordienste zu starten. Andernfalls müssen Schritte unter-nommen werden, um zu vermeiden, daß ein Shutdown eintritt oder der Computer die Strom-zufuhr verliert und rebooted.

Der Administrator's Guide for Exchange Server zeigt im Detail die Schritte auf, die notwendigsind, um automatisch auf Windows NT einzuloggen und diese Überwachungshilfen zu star-ten.

Die Sicherheitsauswirkungen einer Maschine, die eingestellt ist, um sich automatisch mitausreichenden Zugangsberechtigungen auf einen »Account Context« einzuloggen, um Dien-ste auf einem Server zu unterbrechen und zu starten und Uhren neu einzustellen, ist beun-ruhigend. Eine solche Maschine sollte zumindest mit einem Screen-Saver ausgestattet sein,der eine extrem kurze Auszeit hat, die die Konsole verschließt, und sie sollte sich an einemPlatz mit guter physischer Sicherheit und regulärer menschlicher Präsenz befinden. Da dieseMonitore dazu verwendet werden, Grafik-Anzeigen sichtbar zu belassen, damit eine Fehler-bedingung von einem sich in der Nähe befindlichen Operator bemerkt werden kann, kannder Einsatz eines Screen-Savers sich als unmöglich erweisen. Eine Methode der Verschlie-ßung der Tastatur könnte statt dessen erprobt werden. Ein offensichtlicher Standort für einesolche Maschine wäre das »Support Center« oder der »Operations Room«, wo die Gefahreiner unberechtigten Benutzung geringer ist. Diesbezüglich sollte zunächst überlegt werden,ob eine permanente proaktive Überwachung im jeweiligen Einsatzbereich überhaupt not-wendig ist, oder ob die Reaktion auf entstandene Fehler ausreicht.

Die Verwaltung des Exchange-Servers erfolgt über das Programm Exchange Administrator.Damit können alle Exchange-Server des lokalen Standortes konfiguriert und Server an ande-ren Standorten betrachtet werden. Die Konfiguration der Benutzerberechtigungen ähnelt da-bei sehr dem NT-Benutzermanager:


Abb.11: Die Konfiguration von Benutzerberechtigungen im MS Exchange-AdministratorTerminplanung

Schedule+ erlaubt den Benutzern, ihre eigenen Termine auf einem privaten Kalender einzu-tragen. Sie können Zugriffsberechtigungen einrichten, um anderen Benutzern Zugriff auf ih-ren Terminplan zu gewähren, wobei der Grad der Zugriffsberechtigung variiert werden kann.Bei der Eintragung von Terminen können diese als privat gekennzeichnet werden, so daßandere Benutzer lediglich erfahren, daß man nicht verfügbar ist, jedoch nicht die Art desTermins. Es ist jedoch nicht möglich, die Funktionalität des Terminkalenders für einen ein-zelnen Benutzer abzuschalten bzw. ein Kennzeichen für andere Nutzer zu hinterlassen, daßder Scheduler nicht genutzt wird. Es ist möglich, den anzuzeigenden Zeitraum auf null zu-rückzusetzen oder einen virtuellen Dauertermin anzulegen, dessen zur Einsicht freigegebe-ner Inhalt diejenigen, die einen Termin mittels Schedule+ vereinbaren möchten, darauf hin-weist, daß die Funktion vom Besitzer des Kalenders nicht genutzt wird. Alternativ läßt sichdie Schedule-Funktion für einen ganzen Exchange-Server deaktivieren.Verschlüsselung

Microsoft Exchange nutzt im wesentlichen zwei Verschlüsselungstechniken: Eine für jedeKommunikation aufgebaute Verbindungsverschlüsselung sowie eine vom Benutzer veran-lasste Ende-zu-Ende-Verschlüsselung nach dem Public-Key Verfahren.

Leztere ermöglicht einen sicheren und verbindlichen E-Mail-Austausch indem die Daten ver-schlüsselt und die Dokumente digital unterschrieben werden. Dies ist möglich für Exchange-Benutzer verschiedener Organisationen von Client zu Client.

Der Exchange Server verwendet für die Unterstützung der erweiterten Sicherheit öffentlicheund private Schlüssel. Schlüssel dienen zum digitalen Unterschreiben und Verschlüsseln vonDaten. Jedes Postfach erhält zwei Schlüsselpaare: eins zum Ver- und Entschlüsseln, dasandere zum Unterschreiben und Überprüfen. Um im Notfall die Möglichkeit des Key Recove-ry zu haben, generiert der Key-Management-Server (s.u.) die Verschlüsselungsschlüssel;


Outlook generiert Unterschriftsschlüssel, bei denen die Wiederherstellung von Schlüsselnnur eine unbedeutende Rolle spielt.

Der öffentliche Verschlüsselungsschlüssel dient zum Verschlüsseln einer Nachricht; der öf-fentliche Unterschriftsschlüssel dient zum Überprüfen der Quelle. Wenn ein Benutzer eineNachricht verschlüsselt, wird der öffentliche Verschlüsselungsschlüssel jedes Empfängersverwendet. Wenn ein Benutzer eine unterschriebene Nachricht erhält, wird diese mit Hilfedes öffentlichen Unterschriftsschlüssels der Person, die die Nachricht unterschrieben hat,überprüft. Private Schlüssel werden in einer verschlüsselten Sicherheitsdatei (.EPF) auf derlokalen Festplatte des Benutzers gespeichert. Wenn ein Benutzer eine verschlüsselte Nach-richt erhält, entschlüsselt der private Verschlüsselungsschlüssel die Nachricht. Wenn einBenutzer eine Nachricht unterschreibt, wird der private Unterschriftsschlüssel verwendet.

Sicherer als die Speicherung des privaten Schlüssels auf der Festplatte wäre das Verwahrendes Schlüssels auf einem mobilen Datenträger, also z.B. einer Magnetkarte oder Diskette.Gerade letztere Lösung ist jedoch nicht überall durchführbar, vor allem da die Diskettenlauf-werke an verschiedenen Arbeitsstationen aus Sicherheitsgründen entfernt oder blockiertwerden müssen.

Die für dieses Verfahren erforderliche Schlüsselverwaltung erfolgt auf einem gesondertenKey-Management-Server (KM). Die Schlüsseldateien eines solchen Servers sollten getrenntvon anderen Daten gesichert werden. Darüber hinaus sollten für die Aufbewahrung dieserBackups strengere Richtlinien als für normale Sicherungen gelten. Alle Schlüssel in diesenDateien sind 64-Bit-CAST-verschlüsselt, sind also recht sicher. Man bedenke jedoch, daßdiese Dateien sämtliche privaten Schlüssel aller Mitarbeiter der Organisation enthalten.

Als Basis für die Verbindungverschlüsselung dient das CAST 40 Verfahren, ein symmetri-sches Verfahren, das außerhalb Nordamerikas nur mit einer Schlüssellänge von 40 Bit aus-geliefert wird. Auch das DES Verschlüsselungsverfahren (56 Bit) gehört nur in Nordamerikazum Lieferumfang des Exchange-Servers.

Bei der Beurteilung der Sicherheit dieserSchlüssellängen sollte man insbesondere dieSensibilität der übertragenen Daten berücksich-tigen. Für die meisten Anwendungen dürften diemitgelieferten Kryptisierungsverfahren ausrei-chen, zumal für jede Nachricht ein eigens gene-rierter Schlüssel verwandt wird und auch ein 40Bit Schlüssel z.Zt. nur mit einigem Aufwand zuknacken ist.

Die Übertragung dieser Schlüssel wird mit demRSA Verfahren nach X.509 Standard gesichert.Da die Rechenoperationen hierfür jedoch rechtaufwendig sind, werden mit dieser Methode

Abb.12: Einstellung der Verschlüsselungsoptionen lediglich die Schlüssel und nicht die Daten ver-schlüsselt. Die hierfür notwendigen RSA-Schlüssel werden vom KM-Server generiert undverwaltet.Schutz von Postfächern

Das unbefugte Einsehen von Postfächern durch (Exchange-) Administratoren ist durch die(Selbst-) Erteilung entsprechender Zugriffsrechte oder durch unwiderrufliche Übernahme desBesitzes an den entsprechenden Objekten möglich. Wurden die Daten zuvor mit dem öffent-lichen Schlüssel des Empfängers verschlüsselt, blieben sie natürlich weiterhin unlesbar. Auf-grund des zusätzlichen Verschlüsselungsaufwands dürfte dies jedoch nicht der Normalfallsein.

Die zur Entschlüsselung notwendigen Schlüssel liegen zwar auf dem KM-Server als Sicher-heitskopie für Notfälle, können jedoch durch das Vier-Augen-Prinzip geschützt werden.


Für die folgenden Aufgaben läßt sich das Eingeben mehrerer Kennwörter festlegen:

• Hinzufügen oder Löschen von Administratoren, die den KM-Server verwalten dürfen.

• Wiederherstellen oder Widerrufen der privaten Schlüssel eines Benutzers.

• Importieren oder Widerrufen des Zertifikats einer anderen Zertifizierungsstelle.

Handlungsempfehlungen:• Das Prinzip der minimalen Zugriffsrechte muß Anwendung finden, d.h. Benutzer und Ope-

ratoren dürfen nur genau die Rechte erhalten, die sie zum Ausüben Ihrer Tätigkeit benöti-gen.

• Die bei der Installation eingerichteten Verzeichnisse und Dateien sind auf die Notwendigkeitder vergebenen Berechtigungen hin zu überprüfen und gegebenenfalls zu korrigieren.

• Bei der Kommunikation mit anderen Standorten oder auswärtigen X.400-Systemen ist einMTA-Passwort einzurichten.

• Bei der Sicherung der Schlüsseldateien des KM-Servers ist mit besonderer Sorgfalt vorzu-gehen. Die Sicherungen sollten getrennt von der eigentlichen Systemsicherung erfolgenund die Datenträger gesondert, am besten im Tresor, gelagert werden.

• Die Clients sollten so konfiguriert werden, daß sie verschlüsselte RPCs benutzen. Daten,die auf diese Weise über das Netz geschickt werden, können dann wie E-Mails nicht mehrverändert oder eingesehen werden. Für die Verschlüsselung der RPCs wird RC4, ein wei-terer 40-Bit RSA Algorithmus, verwandt.

• Für das Hinzufügen oder Löschen von Administratorkonten sowie das Wiederherstellenoder Widerrufen von Schlüsseln sind mehrere Kennworte verschiedener Administratoreneinzurichten.

• Die Rechte der Exchange-Operatoren sollten auf ACL-Ebene im Gegensatz zum stan-dardmäßig eingerichteten Administratorkonto so eingeschränkt werden, daß sie sich selbstkeine Rechte zum Zugriff auf fremde Postfächer erteilen können.

• Die Administratoren müssen über die Bestimmungen zum Fernmeldegeheimnis gemäß §85TKG und die resultierenden Rechtsfolgen aufgeklärt und darauf verpflichtet werden.

• Die Benutzer sollten über Funktionsweise und Einsatz der ihnen zu Verfügung stehendenVerschlüsselungsmöglichkeiten sowie über die Möglichkeiten der Einsichtnahme der Ad-ministratoren in unverschlüsselt vorliegende E-Mails aufgeklärt werden.

• Zusätzliche Sicherheit kann erlangt werden, indem der Exchange-Server von Anwendungs-bzw. Datenservern in der Domäne getrennt wird. Noch wirksamer ist es, eine eigene Do-mäne für ihn einzurichten.

2.4 SNA-Server2.4.1 FunktionsbeschreibungDie Rolle des SNA Server besteht darin, Konnektivität im Netzwerk zu bieten. Mit diesemProdukt können Desktop-Computer, die auf MS-DOS, Windows, Windows for Workgroups,Windows NT, Macintosh, UNIX oder OS/2 basieren, Verbindung mit IBM AS/400 und IBMMainframe-Computern aufnehmen. Hierdurch können Unternehmen, ihre Altdaten weiterverwenden, wenn sie auf neuere Computersysteme übergehen. und somit den Mitarbeiternzugänglich machen. Die aktuelle Version läßt dabei bis zu 5.000 Nutzer und 30.000 Sessi-ons gleichzeitig zu.

Der SNA-Server-Verwalter bestimmt die maximale Anzahl an Benutzern und konfiguriert dieUmgebung, um ihnen parallele Verbindungen mit dem Host zu ermöglichen. Dazu gehörtggf. auch, Benutzern Privilegien auf dem Mainframe oder den Minicomputern zuzuweisen,für die der SNA Server eine Verbindung bietet. Es können von einem einzigen Bildschirm


aus alle angeschlossenen Server, Verbindungen und Benutzer in einer oder mehreren SNAServer Subdomänen konfiguriert und verwaltet werden. Wesentliche Funktionen sind z.B.:

• Shared-Folders Service: Arbeitsstationen können auch ohne installierte SNA Client Soft-ware auf sogenannte "shared folders", die sich auf einer AS/400-Maschine befinden, zu-greifen. Dieses Dateisystem ist als Windows NT Server-Dateisystem implementiert; dieDateien auf der AS/400 erscheinen dem Nutzer als normale Windows NT Server-Laufwerke.

• TN3287-Unterstützung: Dieser Dienst erlaubt die Unterstützung der Druckeremulation vie-ler TN3270-Terminals.

• SNA Server Manager: Diese neue, Windows 95-basierte Benutzeroberfläche erlaubt diezentrale Verwaltung und Bedienung aller Funktionen des Microsoft SNA Server.

• TN5250-Dienst: Eine beliebige TN5250-Emulationssoftware kann sich mit einer AS/400über SNA Server verbinden, ohne daß auf dieser AS/400 TCP/IP installiert werden muß.

• Host Print-Dienst: Die serverbasierte 3270- und 5250-Druckeremulation erlaubt Großrech-ner- und AS/400-Anwendungen, auf jedem Netzwerkdrucker unter Windows NT oder No-vellNetware auszudrucken. Das spart Kosten für den Systemverwalter und lange Wege insRechenzentrum für den Benutzer.

• Die APPC-Syncpoint-Programmierschnittstelle erlaubt die Implementation von stabiler,plattformübergreifender Transaktionsverarbeitung in Bezug auf Host-basierte Datenbanken(z.B. DB2) und Ressource Manager (z.B. CICS).

• Remote Access Service, SNA via RAS, ISDN

2.4.2 SicherheitsaspekteAdministration

Die Sicherheit des SNA-Server wird vom sog. Dynamic Module (DMOD) gewährleistet. Jegli-che Kommunikation mit dem SNA-Server durchläuft dieses Modul, das die Sicherheitskriteri-en überprüft. Es gibt keine Möglichkeit, sich am DMOD vorbei mit dem SNA-Server in Ver-bindung zu setzen.

Die SNA-Server-Sicherheit baut jedoch wie alleBackOffice-Komponenten auf der Windows NTSicherheit auf. Alle gesetzten Protokoll- undZugriffseinstellungen sind in der Datei\SNAroot\SYSTEM\CONFIG\COM.CFG ge-speichert.Diese Datei und die beiden ausführbaren Pro-grammdateien SNAEXP.EXE undSNACFG.EXE, die für ihre Konfiguration ge-nutzt werden, benötigen besonderen Schutz,

Abb.13: SNA Sicherheits-Architektur der nicht über die normalen NT–Sicherheitsein-stellungen konfiguriert werden kann. Hierzu sind die im SNA-Server-Manager vorgegebenenDialogboxen oder die in der Online-Hilfe beschriebenen systemnahmen Methoden vorgese-hen. Bei Manipulation der Berechtigungen über NT-Mechanismen ist die ordnungsgemäßeFunktion laut Online-Dokumentation gefährdet.

Verschlüsselung

Um die Sicherheit der Daten zwischen Client und Server zu gewährleisten, kann die Über-tragung verschlüsselt werden. Auf diese Weise wird die Sicherheit auf dem Client-Server-Weg für alle Applikationen, die den SNA-Server nutzen, einschließlich 3270/5250 Emulato-ren und APPC Logon IDs und Paßwörter, erweitert. Die Verschlüsselung kann für jeden Be-nutzer gesondert mit Hilfe des SNA Server-Managers eingestellt werden.


Auch Server zu Server Verschlüsselung istmöglich, beispielsweise, um Netzwerk-oderandere WAN-Verbindungen zu sichern. UmInternet- und andere unsichere Verbindungenzu sichern, beherrscht SNA-Server zum einenSHTTP Verschlüsselung, zum anderen SSL, sodaß sich auch Telnet- oder FTP-Verbindungensichern lassen.

Abb.14: SNA-Server Verschlüsselungsmöglichkeiten

Paßwortverwaltung

Paßwörter von IBM Hosts und Windows NT können gemeinsam verwaltet und automatischsynchronisiert werden, um dem Nutzer ein einmaliges, vereinheitlichtes Logon beim Starteiner Host-Anwendung oder eines NT-Dienstes zu gestatten. Zwischen SNA Server(n) undClients wird die Verschlüsselung von Daten und Paßwörtern gemäß dem RC4-Industrie-Standard der Firma RSA mit 128 Bit unterstützt. Da nur Daten zur persönlichen Identifizie-rung übertragen werden, kann ein solcher Schlüssel verwendet werden, obwohl die derzeitgültigen Exportbeschränkungen der USA ansonsten nur Schlüssel bis 40 Bit Länge zulas-sen.

Die sog. Host-Security-Integration besteht aus drei installierbaren Komponenten, die auf ver-schiedene Netzwerkrechner einer Domäne verteilt sein können: Dem Host Account Cache,der Paßwortsynchronisierung (bestehend aus Host- und Windows NT-Konten-Synchronisierungsdienst) und den Security Integration Diensten.

Die Synchronisierung geschiehtdurch den Host Account Cache, derauf dem PDC einer NT-Domäne lau-fen muß. Er beinhaltet eine ver-schlüsselte Datenbank, die AS/400bzw. Mainframe Paßwörter und UserIDs in Windows NT Paßwörter undBenutzernamen umsetzt und umge-kehrt. Wird das Paßwort an einerStelle geändert, so erfolgt die Syn-chronisierung umgehend. Die HostSecurity Integration wird durch eineganze Reihe von Funktionen undAktivitäten umgesetzt. Hierzu gehö-ren das Einrichten einer Host-Sicherheits-Domäne, das Aktivierenvon Benutzern, das Zuordnen vonVerbindungen zu Sicherheitsdomä-nen sowie das Aktivieren der Kenn-

Abb.15: SNA-Server Beispielkonfiguration wortsysnchronisierung.

Darüber hinaus gibt es ein Bulk Migration Werkzeug, mit dem der Administrator auf Kom-mandozeilenebene Befehle für mehrere Benutzerkonten gleichzeitig ausführen kann. Mitdiesem Werkzeug können auf einfache Weise Benutzerkonten erstellt, gelöscht oder zurNutzung von SNA-Server freigegeben werden. Korrespondenzen zwischen Host- und NT-Konten können bestimmt, Sicherheitsdomänen angelegt und gelöscht werden.

Handlungsempfehlungen:• Die Konfigurationsdateien (insb. COM.CFG) müssen sorgfältig geschützt werden.

SNAServer


• Sämtliche Verschlüsselungsmöglichkeiten sind zu aktivieren.• Vor der Aktivierung des Paßwort-Synchronisierungsservice sollte überlegt werden, inwie-

weit Sicherheitsaspekte (durch wiederholte Authentifizierung) dem erhöhten Komfort eineseinmaligen Logins entgegenstehen. Zu berücksichtigen ist hierbei auch, daß Mitarbeiter,die sich mehrere Paßwörter merken müssen, eher dazu neigen, diese niederzuschreibenoder leicht zu erratene Kennwörter zu verwenden.

• Bei der Arbeit mit dem Bulk Migration-Werkzeug sollte eine sorgfältige Überprüfung dervorgenommenen Einstellungen erfolgen, da diese weitreichende Auswirkungen habenkönnen.

2.5 Proxy-Server2.5.1 FunktionsbeschreibungOrganisationen, die von einem lokalen Netzwerk aus auf das Internet zugreifen wollen, kön-nen einen Proxy Server als Gateway einsetzen. Er hat nicht nur die Aufgabe, allen Anwen-dern den schnellen Zugriff auf das Internet zu ermöglichen, sondern bietet Administratorenauch die Möglichkeit, die Informationen zu begrenzen, auf die Angestellte im Internet zu-greifen können. Oft genutzte Internet-Informationen sind mittels Cache-Funktionen schnellerverfügbar und können effektiver aufgerufen werden. Mit dem Proxy Server können verschie-dene Caches unter verschiedenen Proxy-Server-Computern verteilt werden. Die Arrays er-lauben es, eine Gruppe von Proxy-Servern als einen logisch einzelnen zu behandeln. Mehre-re Server können so simultan administriert werden. Der MS Proxy-Server unterstützt verket-tete oder gestaffelte Konfigurationen, man kann ihn z.B. hinter einem vorhandenen Firewalleinrichten. Die Routing-Funktion ermöglicht außerdem den automatischen Belastungsaus-gleich sowie Fehlertoleranz, wodurch das Leistungsverhalten verbessert und die Zuverläs-sigkeit gesteigert wird.

Die Struktur des MS Proxy Server läßt sich mit dem Windows NT Server und dem zum Be-trieb notwendigen Internet Information Server durch die kompatiblen Komponenten verbin-den und stellt so eine einfache Systemverwaltung sicher. Er ist eng in die Windows NT Ser-verschnittstelle für Netzwerk-, Sicherheits- und Verwaltungsfunktionen integriert, so daß derProxy Server von zentraler Stelle mit den gleichen Werkzeugen verwaltet werden kann. Dader Proxy Server alle relevanten Netzwerkprotokolle einschließlich HTTP (Hypertext TransferProtocol), FTP (File Transfer Protocol), RealPlayer (Streaming Audio/Video), VDOLive (Stre-aming Video), IRC (Internet Relay Chat) unterstützt, kann weiterhin die vorhandene interne

Netzwerktechnologie genutzt werden.

Der Proxy Server bietet Funktionen, mit denendie Zugänge der einzelnen Arbeitsplätze desLAN zum Internet gesteuert werden können. Eskann festgelegt werden, wer wann auf welcheInformationen im Internet zugreifen kann undwer nicht. So kann das Aufrufen bestimmterAdressen von bestimmten Arbeitsplätzen ver-weigert, der zeitliche Zugriff geregelt oder auchspezielle Internet Dienste freigeschaltet odergesperrt werden. Gleichzeitig schützt der ProxyServer das LAN gegen Zugriffe von außen. Zu-dem liefert der Proxy Server Statistiken, welchedie Verwendung der Internet Verbindungendokumentieren. Dies verschafft Transparenz

Abb.16: Typische Installation mittelgroßer Organisationen über das aufgerufene Datenaufkommen.

Mit Hilfe von Virtual/Reverse Hosting können einige Webserver hinter dem Proxy Server po-sitioniert werden, was Flexibilität und Sicherheit beim Publishing am Netz erlaubt.


Über die eingebaute dial-on-demand-Funktion kann erreicht werden, daß das Netzwerk nurbei Bedarf mit dem Internet Service Provider verbunden wird.

Einige wesentliche Elemente des MS Proxy Server umfassen :• Unterstützung der TCP/IP- und IPX/SPX-Protokolle, so daß der Proxy Server im bestehen-

den Netz eingesetzt werden kann, ohne Veränderungen vornehmen zu müssen.• Uneingeschränkte CERN-Proxy-Standard-Entsprechung, der die Protokolle HTTP, FTP und

Gopher unterstützt, und damit Zugriff auf die größtmögliche Zahl von Browsern und Inter-net-Anwendungen.

• Unterstützung von SSL (SSL - Secure Sockets Layer), um durch Verschlüsselung und Ent-schlüsselung einen sicheren Datenaustausch zu gewährleisten.

• WinSock Proxy, womit mit Windows Sockets Version 1.1 kompatible Anwendungen, inklu-sive LDAP, IRC, SMTP, Microsoft SQL Server, RealAudio und VDOLive, die auf privatenNetzwerken ausgeführt werden, unverändert unterstützt werden.

• Verbesserung der Antwortzeiten und Minimierung des Datenaufkommens im Netzwerk,indem Kopien häufig angeforderter Internet- oder Intranet-Daten auf einem lokalen Rech-ner zwischengespeichert werden.

• Dynamische Analyse der Zugriffe auf Internet und Intranet, so daß auf Daten, die am häu-figsten verwendet werden und zwischengespeichert werden müssen, rasch zugegriffenwerden kann.

• Möglichkeit für Administratoren, für alle Objekte im Cache eine Verweildauer (Time-to-Live)festzulegen, damit die Aktualität der Daten und maximale Effizienz sichergestellt werden.

• Verhinderung des unbefugten Zugriffs aus dem Internet auf das private Netzwerk und damitSicherung sensibler Daten.

• Einschränkung des Zugriffs aus dem privaten Netzwerk auf definierte Internet-Ressourcenüber IP-Adresse oder Domain-Name.

• Enge Integration in die Sicherheitsfunktionen und Benutzer-Authentifizierung von WindowsNT Server, so daß der Administrator kontrollieren kann, wer im Internet arbeitet und welcheDienste genutzt werden.

2.5.2 SicherheitsaspektePaketfilter-Funktionalitäten

MS Proxy Server agiert als Gateway zwischen einem Intranet und dem Internet. Der ProxyServer ist als zusätzlicher Sicherungsrechner mit Dynamic Packet Filtering einsetzbar, mitzusätzlicher Application Layer Security und Circuit Layer Security. Wird Microsoft Proxy Ser-ver im Zusammenspiel mit Routing-Komponenten und Remote Access Service für WindowsNT Server benutzt, ist es möglich, sichere Verbindungen mittels Virtual Private LANs (VPNs)zu implementieren. MS Proxy Server unterstützt die Umsetzung individueller Sicherheitskrite-rien, auch in Zusammenarbeit mit Firewall-Produkten anderer Hersteller. Dabei ist es alleinmit dem Proxy-Server möglich, für das interne Netz einen eigenen Class-C Adressraum zuvergeben. Durch die Adressübersetzung ist es denkbar, mit nur einer IP-Adresse nach au-ßen hin zu agieren.

Nicht unterstützt werden Proxy-Routing (ICP), Proxy-ARP, Caching von zugriffsbeschränktenDokumenten, im Stream-Verfahren übertragenen Daten sowie Precaching. Weiterhin ist eineBlockung von Java, ActiveX oder MIME durch das Produkt allein nicht möglich. Eine Admini-strationsmöglichkeit über das WWW fehlt.

Benutzerberechtigungen bestimmen, welche Benutzer oder Benutzergruppen Zugang zumInternet über ein bestimmtes Protokoll durch den Web-Proxydienst oder WinSock-Proxydienst erhalten können. Benutzerberechtigungen werden unabhängig von jedem Pro-tokoll gewährt, und die Einstellungen sind jeweils spezifisch für den Web-Proxydienst oderden WinSock-Proxydienst und müssen damit auch gesondert für diese Dienste eingerichtetwerden.


Bevor die Benutzerberechtigungen zugewiesen werden, sollten mit Hilfe des Benutzermana-gers für Domänen von Windows NT die Benutzergruppen erstellt werden, die die Benutzer-konten enthalten, die Zugang zu einem bestimmten Protokoll oder zu einer Protokollsamm-lung benötigen. Man kann Gruppen einrichten, um den Internet-Zugang für Benutzer selektivzu verwalten. Zum Beispiel können Benutzerberechtigungen für Web-Proxyclients die Ver-wendung der Protokolle FTP, Gopher, HTTP, HTTPS und abgesicherter Protokolle beinhal-ten. Das Protokoll HTTPS verwendet SSL-Verbindungen (SSL = Secure Sockets Layer).

Protokollierung

Warnereignisse und Protokollfunktionen können nur in engen Grenzen individuell angepaßtwerden. Der Proxy Server besitzt drei Dienstprotokolle, in denen Ereignisse aufgezeichnet

werden, die vom Web-Proxydienst, WinSock-Proxydienst und Socks-Proxydienst generiertworden sind. Hinzu kommt ein separates Pa-ketprotokoll, in dem Ereignisse aufgezeichnetwerden, die sich auf den Paketverkehr imNetzwerk beziehen.

Alle Protokollinformationen können in einerTextdatei oder in einer ODBC-kompatiblen Da-tenbanktabelle (wie z.B. Access oder SQL Ser-ver) gespeichert werden.

Socks-Unterstützung

Microsoft Proxy Server 2.0 kann als Socks Ser-ver oder als Socks Client konfiguriert werden.SOCKS ist ein plattformübergreifender Mecha-nismus, der die sichere Kommunikation zwi-schen Client- und Servercomputer gewährlei-stet. Der Socks-Proxydienst unterstütztSOCKS, Version 4.3a, und ermöglicht den Be-nutzern den transparenten Zugriff auf das Inter-net über den Proxyserver. Er dehnt die Umlei-tungsfunktionen des WinSock-Proxydienstesauf nicht-Windows-Plattformen aus. Er verwen-det TCP/IP und kann für Telnet, FTP, Gopherund HTTP verwendet werden. Nicht unterstütztwerden das IPX/SPX-Protokoll sowie Anwen-

Abb.17: Protokollierungsmöglichkeiten des Proxy Server dungen, die das UDP-Protokoll benötigen.Socks-Proxyclients stellen eine Verbindung mit dem Proxyserver-Computer her, und derSocks-Proxydienst vermittelt Informationen zwischen dem Client und dem Internetserver. DieSicherheit basiert dabei auf IP-Adressen, Anschlussnummern und Ziel-Hosts. Der Socks-Proxydienst führt keine Echtheitsbestätigung von Clientkennwörtern durch.

Handlungsempfehlungen:Die im folgenden aufgeführten Optionen allein gewährleisten Sicherheit im Internet nur be-dingt. Sie sind lediglich Konfigurationsvorschläge. Insbesondere bei der Verarbeitung sensi-bler Daten sollte erwogen werden, ob nicht noch eine andere, spezialisiertere Soft-/Hardwareherangezogen wird, um die Sicherheit des Internetzugangs zu gewährleisten.• Das Prinzip der minimalen Zugriffsrechte muß Anwendung finden, d.h. Benutzer dürfen nur

genau die Rechte erhalten, die sie zum Ausüben Ihrer Tätigkeit benötigen.• Es dürfen nur Dienste und Anwendungen ausgeführt werden, die auch benötigt werden. Je

weniger Dienste und Anwendungen auf dem System ausgeführt werden, desto weniger


wahrscheinlich ist es, daß ein Fehler in der Administration ausgenutzt werden kann. Unnö-tige Bindungen von Diensten mit Internet-Adaptern (Netzkarten) müssen gelöst werden.

• Die Zugriffskontrolle muß aktiviert werden. Das Ausführen des Web-Proxydienstes oderWinSock-Proxydienstes ohne Zugriffskontrolle wird als eine nicht sichere Betriebsumge-bung betrachtet. Ohne aktivierte Zugriffskontrolle kann keine Echtheitsbestätigung desKennworts eingerichtet werden.

• DNS- und Gateway-Bezüge in Client-Konfigurationen sollten bereinigt werden. Dadurchwerden Clients davon abgehalten, den Proxyserver für den Internet-Zugang zu umgehen.Wenn DHCP verwendet wird, sollten dieselben Verweise entfernt werden, um auch DHCP-Server vom Zugriff auf Adressen außerhalb des internen Netzwerks abzuhalten.

• Externe IP-Adressen dürfen niemals in die lokale Adressentabelle (LAT) geschrieben wer-den. Wenn man externe IP-Adressen zur LAT hinzufügt, wird das gesamte interne Netz-werk für Internet-Server und Internet-Clients offengelegt. Dadurch kann die Sicherheit desinternen Netzwerks massiv gefährdet werden.

• Netzlaufwerk-Zuordnungen zu anderen Remote-Servern sollten im internen Netzwerk nichtverwendet werden. Das ist besonders wichtig, wenn derselbe Computer für den Proxyser-ver und für Veröffentlichungen im Web mit dem IIS verwendet wird.

• Der Server-Dienst von Windows NT, also das Protokoll SMB (Server Message Block) darfnicht über das Internet ausgeführt werden.

• Die Anschlüsse 1024 bis 1029, die von den TCP/IP-Diensten für die RPC Empfangsbereit-schaft (Remote Procedure Call) an der Internet-Schnittstelle verwendet werden, sollten de-aktiviert werden. Man kann alle Anschlüsse deaktivieren, die für die RPC Empfangsbereit-schaft an der externen Netzwerkschnittstelle verwendet werden. Daraufhin sind diese An-schlüsse nicht mehr für das Internet sichtbar, und RPC-Empfang ist nur über die interneNetzwerkschnittstelle möglich.

• Aus Sicherheitsgründen ist die bevorzugte Konfiguration von Microsoft Proxy Server die alseigenständiger Server in der aktuellen Domäne.

• Wenn Remote Access Service (RAS) von Windows NT nach der Installation des Proxyser-vers installiert wird, ist das IP-Forwarding aktiviert. Das IP-Forwarding muß nach der In-stallation von RAS gegebenenfalls deaktiviert werden.

Die folgenden Empfehlungen müssen den individuellen Gegebenheiten angepaßt werden; essind Vorschläge für mögliche Konfigurationen die nicht direkt umgesetzt werden müssen.• Die Empfangsbereitschaft auf empfangenen Ports (Dienstanschlüssen) kann deaktiviert

werden. Dadurch werden Internet-Benutzer davon abgehalten, Verbindungen über Dien-stanschlüsse aufzubauen, die nicht speziell für den ankommenden Zugriff aktiviert sind.

• Man kann den Server-Dienst dazu verwenden, neue Dokumente von Computern im inter-nen Netzwerk hochzuladen, aber andererseits nicht wünschen, daß Benutzer aus dem In-ternet direkten Zugang zum Server-Dienst erhalten. Wenn man den Server-Dienst im inter-nen Netzwerk verwenden muß, deaktiviert man die Bindung mit dem Server-Dienst auf je-der Netzwerkkarte, die mit dem Internet verbunden ist.

• Die IP-Weiterleitung auf dem Server kann unterbunden werden. Die IP-Weiterleitung (IP-Routing) erlaubt es normalerweise, daß Pakete in das interne Netzwerk weitergeleitet wer-den. Deaktiviert man dieses Leistungsmerkmal auf dem Server, werden keine Paketedurch den Proxyserver in das interne Netzwerk weitergeleitet.

2.6 Internet Information Server2.6.1 FunktionsbeschreibungMicrosoft Internet Information Server (IIS) stellt ein zentral verwaltetes System dar, mit demdie Installation, Verwaltung und der Betrieb mehrerer Server mit mehreren IIS-Serviceleistungen von einem einzigen NT-Rechner aus möglich ist. Der Internet InformationServer ist eine Plattform, die auf einige Vorteile der NT Technologie zurückgreift, z. B. die


Zugriffsrechtestruktur, Netzwerkeinbindung und eine Unterstützung von ODBC-Datenbanken. Der IIS ist fester Bestandteil des NT Server 4.0 und z.B. zum Betrieb des MSProxy-Servers zwingend erforderlich. IIS wird als Satz integrierter NT Server-Serviceleistungen ausgeführt, die die eingebauten Eigenschaften von NT Server nutzen (wieden Service Manager, Performance Monitor und die Windows NT Server Sicherheit). Mankann ihn als Web-Server für Inhouse Publishing oder Internet nutzen.

Eine der wichtigsten Eigenschaften des IIS ist neben der Einbindung ins Internet die anwen-derfreundliche und übersichtliche Organisation der internen Informationsstruktur. Dies ge-schieht z. B. durch gespiegelte Web-Server oder das Verwalten von mehreren virtuellenStammverzeichnissen - auch wenn diese sich auf mehrere Web-Server verteilen.

Internet Dienste wie FTP und Gopher sind im IIS bereits fest integriert. Mit Hilfe des Internet-Datenbank-Konnektors können Datenbankanwendungen über die ODBC Schnittstelle inte-griert und mit einem Web-Browser als Client aufgebaut werden. Die ODBC-Schnittstelle er-laubt über .idc-Dateien einen unkomplizierten Zugang zu verteilten Datenbanken über nor-male HTML-Seiten.

Der Internet Information Server verfügt bereits standardmäßig über diverse Funktionen: Diegleichzeitige Unterstützung für NCSA und CERN Style Image Map Files erleichtert den Im-

port von UNIX-Systemen. Der Internet Informa-tion Server kann dabei auch Nachsendungenvon Image Map Lookups versenden. Die ge-samte Verwaltung des IIS kann über die Inter-net Server-Programmierschnittstelle vollständigüber einen einfachen Web-Browser durchge-führt werden. Der Internet Server Manager kannalle Internet Information Server im Netz mit ei-nem einzigen Tool administrieren. Auf einemeinzigen ISS können mehrere virtuelle Stamm-verzeichnisse, die sich auch auf anderen Com-putern im Netz befinden dürfen, verwaltet wer-den. Mehrere virtuelle Web Server bilden eineeinzige Verwaltungseinheit und einen Betriebs-systemprozeß.

Abb.18: Typische Konfiguration eines Netzwerkes mit IIS

Selbst nach einer Netzwerkunterbrechung kann eine Datei weiterbearbeitet werden. Überden Index Server (siehe 2.7) sind neben einer Inhaltsindizierung auch Suchmöglichkeiten fürHTML-Dateien und Office-Dokumente in verschiedenen Sprachen integrierbar.

Der IIS bedient drei Basis-Services, WWW, FTP und Gopher. Man kann den IIS auf ver-schiedene Arten konfigurieren. Es ist möglich, den Service eines einzigen logischen IIS aufmehr als einem Compu-

ter auszuführen. Ein Client-Computer würde annehmen, daß der Service von einer einzigenMaschine zur Verfügung gestellt wird. Hier sind zwei Möglichkeiten zum Implementieren desIIS-Service:

• Server: Jede Maschine mit allen drei IIS-Basis-Services. Man kann zum Beispiel drei IIS-Abteilungsmaschinen haben, die alle drei IIS-Serviceleistungen ausführen.

• Serviceleistungen: Unterschiedliche Maschinen, die IIS-Service für WWW, FTP und Gopherausführen. Man kann z. B. drei IIS-Maschinen haben, wobei die eine WWW Service, dieandere nur FTP-Service und die dritte nur Gopher-Service ausführt.

Die Wahl hängt von der Verwendung der IIS-Sites ab. Man entscheidet sich möglicherweisefür IIS-Abteilungssites zur Bearbeitung der Internet-Bedürfnisse jeder einzelnen Abteilung. Indiesem Fall benötigt man IIS-Maschinen, die alle drei Serviceleistungen für jede Abteilung


anbieten. Wenn man sich dafür entscheidet, organisationsweite IIS Sites einzurichten, sollteman eine Maschine für jeden Service haben, um den Netzwerkverkehr zu verwalten und umdie Maschinen je nach Typ zu verwalten und zu warten.

Der WWW-Service umfaßt folgende Eigenschaften:• Den NT Server Directory Service, der Benutzerkennungen und Kennwörter für geschützte

WWW-Dokumente erfordert.• Integration mit dem NT-Sicherheitsmodell, das einen vergleichsweise sicheren WWW-

Server ermöglicht.• Virtuelle Verzeichnisse, mit deren Hilfe es möglich ist, bestehende Dateien von Windows

NT und NetWare Server für die Anzeige in Web-Browsern zu veröffentlichen.• Eingebaute SSL-Sicherheitmit 40 Bit Verschlüsselungsstärke).• Virtuelle Serverfähigkeiten, die mehrere WWW-Sites auf einem NT Server-Computer ge-

statten und somit die Verwaltung erleichtern.• Grafische Verwaltung aller Aspekte durch den Internet Service Manager.

Der WWW-Service in IIS unterstützt die Ausführung von Programmen auf dem Server (CGI-Schnittstelle) und das Erstellen und Verwenden dynamischer Web-Pages. Wenn man einenneuen WWW-Server installiert, erstellt IIS automatisch ein Stammverzeichnis für den Server.Dem Stammverzeichnis \INETSRV \WWWROOT wird hierbei standardmäßig der Aliasname»Home« gegeben.

Zusätzlich zur Verwendung des Home-Verzeichnisses zum Veröffentlichen von Informatio-nen kann auch das Konzept der virtuellen Verzeichnisse verwendet werden. Mit virtuellenVerzeichnissen können Informationen über Verzeichnisse hinweg verteilt werden, die keineUnterverzeichnisse des Verzeichnisses »Home« sind. Sie können auch verwendet werden,um Informationen auf einem anderen Laufwerk oder Netzwerklaufwerk abzulegen.

Mit Hilfe des virtuellen Servers kann mehr als einen WWW-Server auf derselben Maschinelaufen. Standardmäßig hat jede Maschine eine einzige Domäne und eine IP-Adresse. Dervirtuelle Server gestattet, zusätzliche IP-Adressen und Domänennamen an den Server an-zuhängen, damit es so aussieht, als würden mehrere Server verwendet. Es könnten alsoWWW-Server für verschiedene Abteilungen in einer Organisation erstellet werden, ohne jeeine eigene Maschine für den Web-Server einzurichten.

Mit dem Gopher-Service in IIS können Informationen von großen archivierten Dateien veröf-fentlicht werden. Der IIS-Gopher-Service unterstützt die Eigenschaften des Gopher-Standard. Außerdem unterstützt der Gopher-Service in IIS die »Gopher + Selector«-Zeichenketten, mit denen Clients zusätzliche Informationen vom Server erhalten können, wiebeispielsweise den Verwalternamen des Gopher-Servers. Man kann auf dem Gopher-Servermarkierte Dateien verwenden, um Verbindungen zu anderen Gopher-Servern im Unterneh-men oder auf dem Internet herzustellen.

Der der im Internet Information Server eingebaute FTP-Server unterstützt Anonymous FTPzum Zugriff auf das Internet, um Dateien herauf- und herunterzuladen zu können.

Der Internet Service Manager ist ein grafisches Programm zur zentralen Verwaltung allerFunktionen des Internet Information Server. Der Internet Service Manager bietet eine ge-meinsame Verwaltungsstelle für die Verwaltung des WWW-Server- Service, des FTP Serviceund des Gopher Service.

Mit dem Internet Database Konnektor bietet IIS Konnektivität mit der Microsoft SQL Server-Datenbank über die »Open Database Connectivity« (ODBC)-Schnittstelle. Der Internet Data-base Connector gestattet Organisationen die Entwicklung datenbankaktivierter WWW-Anwendungen. Das ist eine wichtige Eigenschaft, mit der Benutzer auf Unternehmensdatenvon einem beliebigen Ort der Welt mit Hilfe des Internet zugreifen können. Die IIS-Integrationmit SQL Server über ODBC Gateway bietet einen Ansatz für die Entwicklung datenbankakti-vierter Internet-Anwendungen.


Wichtige Features im Überblick :• Vergabe von individuellen Zugriffsrechten • World Wide Web Service• Zenrales System Management • Internet Service Manager• Skalierbarkeit und Portierbarkeit der Daten • Gopher Service• Interaktiver Zugriff auf Datenbankanwendungen • Internet Database Connector• Unterstützung von E-Mail-Funktionen von Exchange • FTP Service

2.6.2.Sicherheitsaspekte

Die integrierte Sicherheit wird über den Server-Verzeichnisdienst von Windows NT auf Be-nutzer- und Objektebene und über ESSL (Enhanced Secure Sockets Layer) auf Netzwerke-bene gewährleistet. Alle Dienste können protokolliert werden, hierzu kann entweder einTextformat oder aber der SQL Server verwendet werden.

WWW-Server

Standardmäßig meldet der Webserver alle Benutzer mit Hilfe eines sogenannten anonymenKontos an. Während der Installation erstellt der Server ein besonderes Konto für anonymeBenutzer, das den Namen IUSR_Computername erhält. Es kann verhindert werden, daßBenutzer ohne Authentisierung auf zugriffsbeschränkte Inhalte zugreifen. Der Benutzer wirdaufgefordert, eindeutige Informationen zum Benutzernamen und zum Kennwort einzugeben,die einem gültigen NT-Benutzerkonto entsprechen müssen. Dieses Konto unterliegt denDatei- und Verzeichnisberechtigungen des NTFS Dateisystems, durch die die Zugriffsebenefür das Konto definiert wird.

Die SSL-Sicherheitsfunktionen des Webservers können verwendet werden, um die Benutzerzu authentifizieren. Bei dieser Form der Authen-tifizierung wird der Inhalt einer verschlüsseltendigitalen Identifikation überprüft, den der Web-browser des Benutzers während des Anmelde-vorgangs übermittelt.

Die Benutzer erhalten diese digitale Identifikati-on, die als Clientzertifikat bezeichnet wird, inden meisten Fällen von einer Organisation, dievon beiden Seiten anerkannt wird (Trusted ThirdParty-TTP). Die Clientzertifikate enthalten in derRegel Informationen, die den jeweiligen Benut-zer und die Organisation identifizieren, die dasZertifikat ausgegeben hat.

Programmschnittstellen

Ein wichtiger Aspekt eines WWW-Servers ist dieFähigkeit, Programme im Rahmen einer Hyper-text-Verbindung auszuführen. Zusätzlich zurVerwendung von Hypertext-Verbindungen zumAusführen von Anwendungen können Benutzerauch Anwendungsausführungen auslösen, in-dem sie ein HTML-Formular ausfüllen und eszur Verarbeitung dem Server vorlegen. Die Fä-

Abb.19: Authentifizierung des Web-Zugriffs higkeit, Programme auf dem WWW-Server aus-zuführen, erhöht das Risiko, daß Benutzer in das System »einbrechen« können. Man sollteentsprechend vorsichtig sein und Benutzer davon abhalten, daß sie Lese-/Schreibzugriff aufdie ausführenden Programm- und Skriptdateien erhalten.


Der WWW-Service im IIS unterstützt das Konzept vollständig, Server-basierte Anwendungenauszuführen, indem er den Standard Common Gateway Interface (CGI) unterstützt.

IIS unterstützt auch ein eigenes Application Programming Interface (API) zum SchreibenInternet-aktivierter Anwendungen, das »Internet Server Application Programming Interface«(ISAPI) genannt wird. Man kann jede beliebige Sprache, wie C/C++ oder Visual Basic, ver-wenden, um Anwendungen zu schreiben, die die CGI- oder ISAPI-Schnittstelle verwenden.

Absolute Vorsicht muß man walten lassen, wenn man Benutzern gestattet, Dateien auf denServer zu kopieren. Man vergewissere sich, daß man alle Dateien auf Viren überprüft. An-kommende Dateien sollten auf ein einziges Verzeichnis kopiert werden, um den Überprü-fungsprozeß der Dateien zu erleichtern.

FTP-Server

Die im IIS integrierte Sicherheit gestattet den Verwaltern, den Zugriff auf den FTP-Servicebasierend auf Benutzerkennungen und Kennwörtern für Dateien und Verzeichnisse einzu-schränken. Zum Herstellen einer FTP-Verbindung zum Webserver müssen sich die Benutzermit einem Benutzernamen und einem Kennwort anmelden, die zusammen einem gültigenNT-Konto entsprechen. Wenn der IIS die Identität eines Benutzers nicht überprüfen kann,gibt er eine Fehlermeldung zurück. Die FTP-Authentifizierung ist nicht sicher, da die Benut-zer das Kennwort und den Benutzernamen in unverschlüsselter Form über das Netzwerkübermitteln. Dadurch kann auch die Sicherheit anderer NT-Dienste gefährdet werden.

Interaktion mit dem SQL-Server

Die Integration der NT Server-Sicherheitseigenschaften in SQL Server und IIS bietet einesichere Datenbankkonnektivitätsoption. Wenn Benutzer Windows NT Security verwenden,können datenbankaktivierte Anwendungen vom NT Server und SQL Server authentiziertwerden, bevor sie Zugriff auf Unternehmensdaten erhalten. Die Optionen der Internet Secu-rity, »Secure Sockets Layer« (SSL), »Secure Transaction Technology« (STT) und »Crypto-graphy Application Programming Interface« (CAPI) bieten auch eine Methode zur Durchfüh-rung sicherer Transaktionen auf dem Internet. Außerdem ermöglichen sie die EntwicklungInternet-aktivierter Anwendungen, die die derzeit durch den Exchange-Server unterstütztenVerschlüsselungs- und Sicherheitstechnologien verwenden.

Besondere Vorsicht ist jedoch geboten, wenn neben dem IIS auch der SQL-Server installiertwurde. Wenn der RDS des IIS installiert wurde, was bei der Installation über das ‚NT OptionPack‘ standardmäßig der Fall ist, ergeben sich insbesondere bei eingerichteten OLE-DB-Providern erhebliche Sicherheitsdefizite (vgl. 2.1). Der Remote Data Service ist also unbe-dingt abzuschalten.

Handlungsempfehlungen:• Das Prinzip der minimalen Zugriffsrechte sollte Anwendung finden, d.h. Benutzer sollten

genau die Rechte erhalten, die sie zum Ausüben Ihrer Tätigkeit benötigen.• Es sollten sichere Authentifizierungsmechanismen verwandt werden, wenn anonymisierter

Zugriff nicht ausdrücklicher Zweck des Servers ist.• Wenn der Webserver von einem Remotecomputer aus verwaltet wird, sollten SSL-

Sicherheitsfunktionen verwandt werden.• Der NT Server mit IIS kann vom Rest des Unternehmensnetzwerks getrennt werden, indem

ihm seine eigene Domäne zugewiesen wird. Es wird dann eine einseitige Vertrauensbezie-hung eingerichtet. Benutzern des Organisationsnetzwerks wird der Zugriff auf die IIS-Maschinen gestattet, Benutzerkonten von der Domäne, die die IIS-Maschinen enthält (be-sonders Gästen) wird jedoch untersagt, auf das Netzwerk zuzugreifen. Alle IIS-Serviceleistungen werden hierbei im Sicherheitskontext eines Server-Kontos von der nicht-vertrauten Domäne aus ausgeführt, die den IIS Server enthält.

• Es sollte sich vergewissert werden, daß die IIS-Maschine mit den notwendigen Zugriffsbe-schränkungen versehen wurde, um nichtautorisiertes Kopieren oder Ändern zu vermeiden.


• Es sollten, soweit möglich, immer verschlüsselte Kennwörter im Internet verwandt werden.• Der RDS muß unbedingt deaktiviert werden, wenn ein SQL-Server installiert ist.• Alle durch FTP übertragenen Dateien sollten auf Viren überprüft werden.• Es sollte ein Firewall eingerichtet werden, um unerlaubten Zugriff auf das Netzwerk zu ver-

meiden. Firewalls, Screening Router und andere ähnliche Sicherheitsmaßnahmen könnenden Zugriff auf IIS Sites beschränken. Man kann z.B. Datenverkehr, basierend auf IP-Adressen oder Sicherheits-schlüsseln, einschränken:

Abb.20: Der IIS hinter einem Firewall

2.7 Index ServerMicrosoft Index Server ist eine Lösung, um vom Internet Information Server (IIS) oder vonden Microsoft Peer Web Services (PWS) verwaltete Inhalte zu durchsuchen und zu indizie-ren. Als Zusatzmodul für IIS und PWS wurde der Microsoft Index Server so entworfen, daßer den gesamten Text und die Eigenschaften von Dokumenten indizieren kann, die von ei-nem IIS (oder PWS) Server verwaltet werden. Der Index Server kann Dokumente indizieren,die sich in unternehmensinternen Intranets oder auch auf beliebigen Datenträgern im Inter-net befinden, auf die über einen UNC-Pfad (UNC=Uniform Naming Convention) zugegriffenwerden kann. Clients können Abfragen formulieren, indem sie über einen beliebigen Browserfür das World Wide Web die Felder eines einfachen Abfrageformulars ausfüllen. Der WebServer leitet das Abfrageformular an das Abfragemodul weiter, das die zugehörigen Doku-mente ermittelt und das Suchergebnis in Form einer Web-Seite an den Client zurückgibt. ImUnterschied zu anderen Systemen zur Inhaltsindizierung kann der Index Server sowohl denText als auch die Eigenschaften von formatierten Dokumenten indizieren, wie zum BeispielDokumente, die mit MS Word oder Excel erstellt wurden. Auf diese Weise kann man beste-hende Dokumente im Intranet veröffentlichen, ohne sie in das HTML-Format konvertieren zumüssen.

Bei der ersten Installation des Index Servers wird ein Katalog mit einer Zugriffskontrolliste(ACL) eingerichtet, die nur dem Administrator und den Systemdiensten Zugriff gestattet. Da-durch wird zum einen sichergestellt, daß unbefugte Benutzer die Dateien im Katalog nicht alsTeil ihrer Abfrage sehen können, wenn das Katalogverzeichnis sich in einem virtuellenStammverzeichnis befindet. Der Schutz des Katalogverzeichnisses ist auch wichtig, um un-befugten Benutzern (die Zugriff auf den Server über freigegebene Verzeichnisse erhaltenkönnten) daran zu hindern, den Inhalt des Katalogs zu sehen.

Wenn ein weiteres Katalogverzeichnis manuell erstellt wird, sollte sichergestellt werden, daßdieses und die in ihm erstellten Dateien entsprechende Zugriffsbeschränkungen erhalten.Ein Katalogverzeichnis sollte ausschließlich den Zugriff für den Administrator und für dasSystemkonto gewähren. Da der Index Server als ein Dienst ausgeführt wird, ist der System-zugriff erforderlich.

Wenn Dokumente indiziert werden, werden alle Zugriffskontrollen für ein Dokument im Ka-talog geführt und gegen die Client-Rechte geprüft. Wenn ein Client keinen Zugriff auf einDokument hat, dann wird das Dokument nicht in dessen Abfrage-Ergebnisse mit einbezo-gen; es gibt für ihn keinen Hinweis darauf, daß dieses Dokument existiert.


Damit die Zugriffskontrolle korrekt angewendet werden kann, ist es nötig, daß für jeden Cli-ent vor der Bearbeitung seiner Abfrage eine Echtheitsbestätigung durchgeführt wird. Dereinfachste Weg, die Echtheitsbestätigung eines Clients sicherzustellen, ist das Anbringeneiner entsprechenden Zugriffskontrolle auf dem Formular, das eine Abfrage übermittelt. EineZugriffskontrolliste könnte auch der in einer Abfrage verwendeten .idq- oder .htx-Datei zuge-ordnet werden. Je nach Konfiguration des Internet Information Servers (IIS) können ein odermehrere Mechanismen der Echtheitsbestätigung verwendet werden. Dies sind: Echtheitsbe-stätigung über NT-Challenge/Response-Verfahren, einfache Echtheitsbestätigung, nicht-authentifizierte Anmeldung.

Bei einem Intranet, das vollständig aus Windows NT-Workstations und Windows NT-Servernbesteht, ist das Windows NT- Challenge/Response-Verfahren die bevorzugte Art der Echt-heitsbestätigung. Hierbei wird das Kennwort des Clients nicht im Klartext über das Netzwerkübertragen.

Wenn die anonyme Anmeldung erlaubt ist, wird sie als Vorbelegung so lange verwendet, wiedie Client-Zugriffe auf Dateien mit den Zugriffsrechten des anonymen Anmeldekontos über-einstimmen. Wenn der Versuch unternommen wird, Zugriff auf ein Dokument zu erhalten, fürdas der anonyme Benutzer keine Zugriffsrechte hat, wird ein Dialogfeld für die Echtheitsbe-stätigung angezeigt (sofern ein alternativer Mechanismus für die Echtheitsbestätigung zurVerfügung steht). Daraufhin kann der Client seine Echtheit bestätigen und damit die Zugriffs-rechte für die entsprechende Datei erhalten, die ihm andernfalls verwehrt würden. Die Echt-heitsbestätigung aller Clients, die auf den Server zugreifen, kann erzwungen werden, wenndas anonyme Anmeldekonto deaktiviert wird.

Wenn beim IIS und den PWS der Index Server für den Zugriff auf ein virtuelles Stammver-zeichnis und dessen Indizierung konfiguriert ist, wird der Zugriff auf dieses virtuelle Stamm-verzeichnis und auf die in ihm enthaltenen Dokumente durch das Konto bestimmt, das fürden Zugriff auf das freigegebene Remote-Verzeichnis konfiguriert wurde. Jedes zugänglicheDokument wird indiziert und jedem Client zur Verfügung gestellt, der eine Verbindung zumServer herstellt. Die oben beschriebenen Zugriffsüberprüfungen für Abfrage-Ergebnissewerden in diesem Fall ausdrücklich deaktiviert. Bei der Indizierung virtueller Remote-Stammverzeichnisse sollte man sich bewußt sein, daß die Dokumente in diesem Verzeichnisunbeabsichtigt auch unbefugten Clients zugänglich gemacht werden könnten, da der Benut-zername und das Kennwort, die vom Web-Administrator (auf der EigenschaftenregisterkarteVerzeichnisse des Internet-Dienst-Managers) vergeben wurden, für jeden Zugriff auf diesesfreigegebene Remote-Verzeichnis verwendet werden.

Wenn man die Administration des Microsoft Index Servers über das Web durchführt, sollteman den administrativen Zugriff unbedingt streng kontrollieren. Alle administrativen Opera-tionen auf dem Index Server werden durch die Zugriffskontrolliste (ACL) in folgendem Regi-strierungsschlüssel geregelt:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ContentIndex

Wenn zusätzliche Kontrollen auf administrative Operationen angewendet werden sollen,können ACLs auf die .ida-, .idq- und .htx-Dateien gelegt werden, über die der Standort ver-waltet wird. Wird der Standort nur lokal statt von einem Remote-Computer aus verwaltet,können die Formulare der Administration in nur lokal zugänglichen Verzeichnissen gespei-chert werden, auf die über die URL ‚file://...‘ zugegriffen werden kann.

Um den Standort lokal zu verwalten, müssen die Skripten auf dem Web Server in einemvirtuellen Stammverzeichnis mit der Berechtigung zur Ausführung verfügbar gemacht wer-den.


2.8 Andere KomponentenDa die folgenden Komponenten und ihre sicherheitsrelevanten Einstellungen abhängig vonden in den vorangegangenen Kapiteln erläuterten Produkten sind und sie zudem eher seltenzum Einsatz kommen dürften, wird auf eine detaillierte Beschreibung ihrer Funktionen undSicherheitsparameter verzichtet. Sie werden nur der Vollständigkeit mit aufgeführt:

2.8.1 Microsoft Site Server

Der Microsoft Site Server 2.0 dient dazu, anspruchsvolle Web-Sites im Internet oder Intranetzu erstellen, funktionell zu erweitern und zu verwalten. Er wird in zwei unterschiedlichen Ver-sionen angeboten:

Microsoft Site Server 2.0 und Microsoft Site Server Enterprise Edition 2.0.

Die Enterprise Edition enthält zusätzliche Leistungsmerkmale, mit denen sich Web-Sites fürInternet Commerce erstellen und pflegen lassen sowie erweiterte Verwaltungsfunktionalität.Der Microsoft Site Server bietet drei Grundfunktionen, die den Bedürfnissen des jeweiligenEntwicklungsstadiums innerhalb des Lebenszyklus einer Web-Site entsprechen:

Personalisierung und Funktionserweiterung, robustes Content-Management und Verwaltungbzw. Analyse der Web-Site.

Der Verkauf von Waren und Dienstleistungen über das Internet könnte auf diese Weise ab-gewickelt werden. Eine fundierte Analyse der Nutzungsdaten über die Server Log-Dateienkann über vorkonfigurierte oder eigene Berichtsformate vorgenommen werden, um wichtigeRückschlüsse über die Aktivitäten auf der Web-Site zu ziehen.

2.8.2 Microsoft Merchant ServerDer Microsoft Merchant Server bietet grundlegende Funktionen, die zur Einrichtung einesvirtuellen Vertriebs über das Internet benötigt werden. Neben dem einfachen Entwurf vonAngebotsseiten werden auch besondere Anforderungen, wie Echtzeit-Update und automati-sche Bestellabwicklung abgedeckt.

2.8.3 Microsoft Transaction ServerDer Microsoft Transaction Server ist ein Produkt, das die Flexibilität und die geringen Kosteneiner Desktop-Lösung mit den Transaktionsverarbeitungsfähigkeiten von Großrechnern ver-bindet. Microsoft Transaction Server ist ein komponentenbasiertes Transaktionsverarbei-tungssystem zur Entwicklung, Installation und Verwaltung von Intranet- und Internet-Server-Anwendungen. MS Transaction Server stellt ein Anwendungsprogrammiermodell sowie eineLaufzeitinfrastruktur bereit, mit denen verteilte, komponentenbasierte Anwendungen entwik-kelt und eingerichtet bzw. verwaltet werden können.


Abkürzungsverzeichnis :ACL Access Control ListAFP AppleTalk Filing ProtocolAIX Unix-Derivat von IBMANSI American National Standarts

InstituteAPI Application Programmable

InterfaceAPPC Advanced Program-to-

Program CommunicationsCA Client AccessCAPI Cryptography APICAST Verschlüsselungsalgorithmus

nach Carlisle Adams undStafford Tavares

CERN Conseil Europeén pour la Re-cherche Nucléaire

CGI Common Gateway InterfaceCICS Customer Information Control

SystemCOM Common Object ModelCPI-C Common Programming Inter-

face for CommunicationsCTI Computer-Telephone Integra-

tionDB DatenbankDBA DatenbankadministratorDBMS Database Management Sys-

temDEC Digital Equipment CorporationDES Data Encryption StandardDHCP Dynamic Host Configuration

ProtocolDMI Desktop Management Inter-

faceDMOD Dynamic ModuleDMTF Desktop Management Task

ForceDNS Domain Name ServiceDOS Disk Operation SystemDTC Distributed Transaction Coor-

dinatorE/A Eingabe/AusgabeEPF Encrypted Personal FileESSL Enhanced SSLFIPS Federal Information Proces-

sing StandardsFTP File Transfer ProtocolGB GigabyteHP Hewlett PackardHTML Hypertext Markup LanguageHTTP Hypertext Transfer ProtocolIBM International Business Machi-

nesICP Internet Cache ProtocolID Identification

IIS Internet Information ServerIMAP4rev1 Internet Message Access

Protocol, Version 4rev1IP Internet ProtocolIPC Interprocess CommunicationIPX Inter-Packet ExchangeIPXODI IPX Open Datalink InterfaceIRC Internet Relay ChatISAPI Internet Serviceleistungen APIISDN Integrated Services Digital

NetworkKM Key Management ServerLAN Local Area NetworkLAT Local Adress TableLDAP Lightweight Directory Access

ProtocolLUA Konventionelle Logical Unit

Application Programmier-schnittstelle

MAPI Messaging APIMIF Management Information FileMIME Multipurpose Internet Mail Ex-

tensionsMPR Multi Protocol RouterMS MicrosoftMTA Mail Transfer AgentNCSA National Center for Supercom-

puting ApplicationsNDIS Network Driver Interface Spe-

cificationNetBEUI NETBIOS Extended User In-

terfaceNETBIOS Network Basic Input Output

SystemNIST National Institute for Standard-

isation and TechnologyNNTP Network News Transfer Proto-

colNT New TechnologyNTFS New Technology File SystemODBC Open Database ConnectivityODS Open Data ServicesOLE Object Linking and EmbeddingOS Operating SystemPC Personal ComputerPCM Package Control ManagerPDC Primary Domain ControllerPOP3 Point of Presence Protokoll V.3PROFS Professional Office System

von IBMPWS Peer Web ServicesRAM Random Access MemoryRAS Remote Access ServiceRC4 VerschlüsselungsstandardRDBMS Relationales DBMS


RDS Remote Data ServiceRPC Remote Procedure CallRSA Verschlüsselungsverfahren

nach Rivest, Shamir, AdlemanRTF Rich Text FormatRUI Request Unit InterfaceSHTTP Secure HTTPSLI Session Level InterfaceSMB Server Message BlockSMP Symetrisches MultiprozessingSMS Systems Management ServerSMTP Simple Mail Transfer ProtocolSNA Systems Network ArchitectureSNAAT SNA ? AppleTalk ProtokollSNADS SNA Distribution ServicesSNAIP SNA ? Internet ProtocolSNALM SNA ? Microsoft Networking

ProtokollSNANW SNA ? NetWare ProtokollSNI Siemens NixdorfSNMP Simple Network Management

Protocol

SPX Sequenced Packet ExchangeProtocol

SQL Structured Query LanguageSRM Security Reference MonitorSSL Secure Socket LayerSTT Secure Transaction Technolo-

gyTAPI Telephony APITCP Transmission Control ProtocolTDI Transport Driver InterfaceTKG TelekommunikationsgesetzTSR Terminate and Stay ResidentTTP Trusted Third PartyUDP User Datagram ProtocolUNC Uniform Naming ConventionURL Uniform Resource LocatorVB Visual BasicVDOLive Video Direct OutputVPN Virtual Private NetworkWAN Wide Area NetworkWFW Windows for WorkgroupsWWW World Wide WebXA eXtended Architecture

Abbildungsverzeichnis :Abb.1: Komponenten von Microsoft BackOfficeAbb.2: SicherheitshierarchieAbb.3: SQL-SicherheitsmodiAbb.4: Hierarchie der SQL-SicherheitseinstellungenAbb.5: Rechtevergabe im SQL-Enterprise-ManagerAbb.6: Der SQL-Security-ManagerAbb.7: Beispiel einer SMS-StandorthierarchieAbb.8: SMS SicherheitsabfrageAbb.9: SMS-Client HelpDesk-OptionenAbb.10: Beziehungen zwischen den Komponenten des Exchange-ServersAbb.11: Die Konfiguration von Benutzerberechtigungen im MS Exchange-AdministratorAbb.12: Einstellung der VerschlüsselungsoptionenAbb.13: SNA Sicherheits-ArchitekturAbb.14: SNA-Server VerschlüsselungsmöglichkeitenAbb.15: SNA-Server BeispielkonfigurationAbb.16: Typische Installation mittelgroßer OrganisationenAbb.17: Protokollierungsmöglichkeiten des Proxy ServerAbb.18: Typische Konfiguration eines Netzwerkes mit IISAbb.19: Authentifizierung des Web-ZugriffsAbb.20: Der IIS hinter einem Firewall


Literatur :MS BackOffice allgemein:• Intranet mit BackOffice, Stephen Wynkoop, Sams, 1997• Special Edition: Backoffice, D. Benage & G.A. Sullivan, Que, 1997, in Deutschland erhält-

lich über Markt &Technik Buch- und Software- Verlag GmbH• Special Edition Using Microsoft BackOffice, D. Benage & G.A. Sullivan et al., Que, 1997, in

Deutschland erhältlich über Markt &Technik Buch- und Software- Verlag GmbH

Windows NT:• Windows NT 4 – Netzwerkadministration & BackOffice, Thomas Dapper/Carsten Diet-

rich/Bert Klöppel/Jürgen Rauch/Jochen Ruhland/Klaus-Dieter Schmidt/Uwe Bergmann,Hanser, 1997

• Windows NT Server Version 4 – Die technische Referenz, Microsoft Press, 1997• Windows NT Workstation Version 4.0 – Die technische Referenz, Microsoft Press, 1997

SQL-Server:• Microsoft SQL Server 6.5, Dusan Petkovic, Addison-Wesley Longman, 1996• SQL Server aus der Reihe Microsoft BackOffice – Die technische Referenz (Teil 2), Micro-

soft Press, 1997

Systems Management Server:• Microsoft Systems Management Server 1.x, Jochen Gebauer, Addison-Wesley, 1997• Systems Management Server 1.2 - MCSE Rapid Review Study Guide, Michael A. Pastore,

Duke Communications, 1998• Systems Management Server aus der Reihe Microsoft BackOffice – Die technische Refe-

renz (Teil 1), Microsoft Press, 1997• Systems Management Server (Zusatzband) aus der Reihe Microsoft BackOffice – Die

technische Referenz (Teil 2), Microsoft Press, 1997

Exchange Server:• Exchange Server 5 – Das Kompendium, Markt &Technik Buch- und Software- Verlag

GmbH, 1997• Exchange Server 5.5 Secrets, R. Guaraldi/J. Sides/N. Studt/J. Condon, Franzis, 1998• Exchange Server aus der Reihe Microsoft BackOffice – Die technische Referenz (Teil 1),

Microsoft Press, 1997• Exchange Server (Zusantzband) aus der Reihe Microsoft BackOffice – Die technische Re-

ferenz (Teil 2), Microsoft Press, 1997• Microsoft Exchange Server 5.5, Lars Riehn & Holger Kattner, Addison-Wesley Longman, 2.

Auflage 1998• MCSE Training Guide Exchange Server 5, Bruce Hallberg et al., New Riders Publishing,

1998

SNA Server:• SNA Server aus der Reihe Microsoft BackOffice – Die technische Referenz (Teil 2), Micro-

soft Press, 1997

Proxy Server:• Microsoft Internet Information Server und Microsoft Proxy Server, Microsoft Press, 1998

Internet Information Server:• Internet Information Server 4 - The Complete Reference, John Paul Mueller & Tom Shel-

don, Osborne McGrawHill, 1998• Microsoft Internet Information Server und Microsoft Proxy Server, Microsoft Press, 1998

Documents

Server 4.0 – eine datenschutzorientierte Analyse€¦ · Der Hamburgische Datenschutzbeauftragte Microsoft Backoffice unter NT-Server 4.0 – eine datenschutzorientierte Analyse